| 애드웨어 끼워팔기식 메모리해킹 기법 악성파일 급증! | 2014.01.06 |
국내 시중은행 보안카드 입력회수 오류 사칭, 금융정보 탈취 시도 [보안뉴스 김태형] 최근 애드웨어 끼워팔기식 메모리해킹 기법의 악성파일이 급증하고 있어 이용자들의 주의가 필요하다. 잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 은밀하게 위변조해 온라인 게임계정 탈취와 메모리해킹 등의 전자금융사기용 악성파일을 배포되고 있는 정황을 여러 차례 공개한 바 있었는데, 최근 들어 이 방식이 유행처럼 번져나가고 있어 긴급대응 및 집중 모니터링 상태를 유지하고 있다고 밝혔다.
잉카인터넷 대응팀 문종현 팀장은 “보통 웹 사이트를 통한 악성파일 전파방식은 이용자 컴퓨터에 다양한 보안취약점이 우선 존재해야 하는 전제조건이 성립해야만 감염될 수 있기 때문에 아무리 많은 웹 사이트에서 악성파일을 동시다발적으로 배포하더라도 이용자의 보안수준에 문제가 없다면 악성파일에 노출될 빈도수는 상대적으로 낮아질 수 있었다”라고 설명했다. 또한 그는 “그러나 애드웨어의 기존 유통 경로를 악용한 전파방식은 프로그램의 보안 취약점을 이용한 방식이 아니기 때문에 기존에 감염되어 있는 이용자들에게 업데이트 기능을 통해서 몰래 유입시키거나 애드웨어 유통 비율과 동일하게 악성파일을 배포할 수 있는 큰 장점을 보유하고 있다”고 덧붙였다. 위의 그림과 같은 파일들은 실제로 국내 인터넷 뱅킹 이용자와 온라인 게임 이용자의 계정정보 등을 노린 악성파일을 이용자 몰래 함께 배포한 이력을 가진 대표적인 애드웨어들이고 이것 외에도 다수가 존재한다. 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조해 악성파일 유포에 남용하고 있는 것이다. 잉카인터넷 대응팀 측은 “이는 Drive By Download 기법의 웹 모니터링과 탐지센서의 감시망을 은밀하게 우회해서 배포할 수 있다는 이점이 결합되면서 더욱 더 교묘하고 지능적인 공격기법이라 할 수 있다. 왜냐하면, 애드웨어가 설치하는 추가파일을 지속적으로 관찰하고 실체를 확인할 수 있어야만, 정확한 프로파일링과 대응이 가능하기 때문”이라며 “지능적 사이버 범죄자들은 보안 전문업체의 관제를 회피해 이용자의 컴퓨터에 안착하기 위한 다양한 공격기법을 연마하고 있다”고 밝혔다. 마치 공수부대 특수 침투조들이 상공에 떠있는 항공기에서 적지에 낙하산을 펴고 투입하는 작전을 진행하듯이 악성파일 유포 방식이 갈수록 고도화되고 있는 추세라는 것. 국내에서는 유명 온라인 게임 계정탈취를 이용하는 악성파일이 오래전 부터 기승을 부렸고그 계정을 통한 금전적 이득을 취한 사이버 범죄조직들은 인터넷 뱅킹 이용자도 정조준하고 있는 상태이다. 이렇듯 다양한 퓨전공격이 복합적으로 이뤄지고 있고 공격자들은 필요에 따라 변장술을 적재적소에 적용하고 있다. 국내 애드웨어 모듈을 바꿔치기한 악성파일류는 2013년 초순에는 인터넷 상품권, 사행성 게임, 온라인 게임 계정이나 아이템 등을 노린 악성파일로 ‘kakubi.dll’ 이름의 파일명을 사용했고 2013년 중순 경부터는 ‘kakutk.dll’ 이름의 파일명이 널리 사용되었다. 그러다가 2013년 하순 경에는 시스템에 존재하는 정상적인 ‘version.dll’ 시스템 파일을 악성파일로 교체하고, 파일명이 유사한 ‘verslon.dll’ 이름의 악성파일을 생성하고 정상파일은 ‘vorsion.dll’ 파일명으로 바꾸는 기법도 활용됐다. 더불어 2014년 1월에는 ‘version.dll’ 파일과 ‘godlion.dll’ 파일명으로 악성파일을 생성하는 기법으로 변모하고 있다. 가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭해 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
