| [단독]7개 은행 타깃 메모리해킹 공격실태 분석해보니... | 2013.10.07 | ||||
7개 은행별로 악성코드 기능 및 유포시기 달라...공동 대응 필요성
최상명 리더 “어느 은행에 악성코드 또 추가될지 면밀히 주시해야” [보안뉴스 권 준] 본지가 최근 국내에서 메모리해킹 공격을 감행한 해커조직의 실체를 심층 보도하면서 사이버범죄조직들의 치밀한 공격실태가 하나둘씩 수면 위로 드러나고 있다.
특히, K조직은 지난 6월부터 메모리해킹 기법을 통해 인터넷뱅킹에서 사용하는 보안모듈을 무력화시키고 사용자 금융정보를 절취해 왔는데, 국내 은행별로 악성코드 종류와 배포시기를 달리해 왔던 것으로 나타났다. 이슈메이커스랩에 따르면 국내 은행 7곳이 대상(은행 1곳은 악성코드에서 최근 제거됨)에 포함됐는데, 대략 2일마다 은행 1곳씩 악성코드 기능이 추가된 것으로 분석됐다. 더욱이 지난 8월 말에는 A은행과 G은행을 대상으로 메모리해킹을 통해 실제 정상적인 이체거래 시에 입금계좌번호와 입금금액을 직접 변조하여 실시간으로 대포통장으로 이체하는 기능을 적용했다. 실제 삽입된 악성코드는 정상적인 이체거래 페이지에서 입금계좌번호를 입력하는 항목을 메모리해킹을 통해 변조하여 인터넷뱅킹 이용자의 계좌번호는 물론 입금금액을 마음대로 변조할 수 있게 된다.
▲ 금융 악성코드 제작조직(K조직)의 악성코드 제작일지 추적 [자료 : 이슈메이커스랩] 여기서 K조직의 목표대상이 된 은행들을 살펴보면 흥미로운 점을 찾을 수 있다는 게 이슈메이커스랩 측의 설명이다. 지난 6월 17일, A, B 2개 은행에 대해 메모리해킹의 1차 단계인 금융정보절취 악성코드 기능이 추가된 다음, 약 20일 후인 7월 8일부터 C은행을 시작으로 이틀에 한번 꼴로 은행 1곳씩이 추가됐다. 악성코드가 제거된 이유를 정확히 알 수는 없지만 만일 해당 은행이 더 이상 악성코드 기능을 유지하기에 어려운 환경이 되어 제거됐다면, 다른 은행들이 D은행의 환경을 따라갈 경우 공격대상에서 제외될 수도 있을 것이라는 추측이 가능하다. 또한, G은행의 경우는 가장 늦게 금융정보절취 기능이 포함된 은행이 됐지만, 반대로 이체계좌 변조 기능의 악성코드가 유포된 유일한 2개 은행에 A은행과 함께 포함된 것으로 알려졌다. 이렇듯 7개 각 은행별로 악성코드 기능 추가시기가 차별화되면서 메모리해킹 등 금융권 타깃 사이버공격에 대비한 은행 간의 긴밀한 정보 및 보안노하우 공유가 필수적이라는 의견이 제기되고 있다. 이번 메모리해킹 사건과 관련해 이슈메이커스랩의 최상명 리더는 “K조직이 추후 어떤 은행을 추가하고, 또 어떤 새로운 악성코드를 제작·배포하게 될지 세심히 모니터링 해야 한다”며, “악성코드에서 일부 은행을 제거하거나 새로운 기능에 모든 은행을 넣지 못한 이유가 분명 있을 것이다. 이것이 보안과 관련된다면 그 이유를 좀더 철저히 분석·공유해 사전에 대비하는 등 적극 대응할 필요가 있다”고 설명했다.
[권 준 기자(editor@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
