[보안뉴스 김지언] 금융정보를 노린 공격이 점차 사용자와 서버관리자가 악성행위를 사전에 감지하기 어려운 방식으로 진화하고 있다. 이와 관련 한국인터넷진흥원(이하 KISA)은 피싱, 파밍 기법을 이용한 금융정보탈취 공격이 증가하고 있다며 ‘최근 피싱 파밍 기법을 이용한 금융정보탈취 동향보고서’를 통해 5가지의 금융정보탈취 공격유형을 밝혔다.

1. 제휴 프로그램 변조

애플리케이션 이용을 위해 프로그램을 설치하는 경우, 필수 프로그램 이외에도 다수의 제휴 프로그램이 함께 설치된다. [그림 1]과 같이 프로그램을 설치하려다 보면 제휴사 홈페이지로 브라우저 시작페이지를 변경하고, XX클리너, 스XXX아이콘, 콘텐츠 정보 뷰 프로그램을 추가 설치하도록 기본 체크돼 있는 경우가 많다.

공격자는 이러한 점을 악용해 제휴 프로그램 중 하나인 스XXX아이콘 설치 파일을 변조하고 사용자가 악성코드 프로그램을 설치하도록 유도했다. 많은 사용자들이 프로그램 설치 시 세부 설치사항에 대해 자세히 확인하지 않고 다음 버튼을 클릭하는 경우가 많은데 이렇게 하면 사용자가 인지하지 못한 상태에서 악성코드가 설치될 수 있다.

설치 파일 내에 필수 프로그램과 제휴사의 프로그램이 함께 구성되어 있다면, 사용자는 자신이 설치하고자 하는 프로그램만 체크하고, 나머지는 체크를 해제해 필요한 프로그램만 설치될 수 있도록 해야 한다. 그리고 서버 관리자는 자사 프로그램과 함께 제휴 프로그램에 대한 보안성 점검을 주기적으로 해야 한다. 또한 서버 관리자는 필수 설치 프로그램을 제외하고는 기본 체크(선택) 되어 있는 부분을 해제해 놓는 것이 사용자 선택권 보장과 프로그램 안전성에 도움을 준다.

2. 웹하드 업데이트 설정파일 및 홈페이지 변조

기존에는 웹하드 서버에 있는 정상 업데이트 파일을 통째로 악성코드로 교체해 사용자 PC에서 업데이트할 때 악성코드를 다운받게 하는 사례가 많았다. 그러나 최근에는 업데이트 설정파일 변조만으로 동일한 공격 효과를 거두고 있다.

업데이트 설정파일에는 버전 정보와 프로그램 업데이트를 위한 링크가 입력돼 있다. 공격자는 웹하드 업데이트 프로그램 실행시 설정파일을 참조한다는 점을 악용해 업데이트 설정파일의 링크를 변조하거나 악성링크를 삽입, 악성코드를 다운로드 받게 한다. 공격자가 설정파일 변조에 성공한다면 프로그램 업데이트 시 악성코드 배포 서버로 계속 접속하게 만들기 때문에 단시간 내 많은 PC를 감염시킬 수 있다.

또한 다수의 웹하드 홈페이지를 변조해 금융정보를 탈취하는 사고도 발생했다. 웹하드는 접속량이 많으면서도 상대적으로 보안에 취약해 악성코드 유포지 및 경유지로 많이 사용되고 있다. 악성코드에 감염되면 사용자 PC의 호스트 파일이 변조되어 파밍 사이트로 연결되고, 공인인증서가 공격자 구축 서버로 유출된다.

따라서 서버 관리자는 업데이트 파일 및 홈페이지에 대한 변조여부를 주기적으로 검사해 의도하지 않은 변경이 발생했는지 검증해야 한다. 사용자 입장에서는 업데이트 프로그램의 변조 여부 확인이 불가능하므로, 웹하드 사용 시 출처가 불분명한 파일을 다운 및 설치하지 않도록 주의한다.

3. 공유기 DNS 변조

흔히 집에서 자주 사용하는 무선 공유기의 경우 DNS서버 IP를 별도로 지정할 수 있는 기능이 있다. 최근 공격자들은 원격제어가 허용돼 있으면서 공유기 관리자 페이지의 비밀번호가 설정돼 있지 않았거나 유추하기 쉬운 비밀번호가 설정된 공유기에 원격 접속한 후 DNS 서버 IP를 수동 설정하거나 변조한다.

이후 사용자가 공유기에 연결된 스마트폰 및 PC로 특정 사이트에 접속할 경우 가짜 사이트로 연결돼 악성앱을 다운로드 받도록 유도한다. 악성앱은 스마트폰에 설치돼 폰의 SMS와 주소록을 특정 IP로 유출하고 가짜 은행앱을 설치하는 악성행위를 수행한다. 이 사례는 PC나 스마트폰의 보안을 아무리 잘해 놓았다 하더라도 공유기 설정 변경만으로도 악성코드에 감염될 수 있다는 것을 보여준다.

이러한 공격기법은 백신 탐지가 어렵기 때문에 사용자는 공유기의 펌웨어를 최신버전으로 업데이트 하고, 사용하지 않는 원격제어 기능은 꺼놓아야 한다. 또한 공유기의 관리자 계정을 생성하고 비밀번호를 설정해 놓아 공격자가 공유기 설정정보를 보거나 변경하지 못하도록 해야 한다.

공유기 제조업체는 제품 출고 시 원격제어 기능을 기본 꺼짐으로 설정해 사용자가 꼭 필요한 경우에만 변경할 수 있도록 해야 한다. 또 사용자가 공유기 비밀번호 설정 시 8자 이상, 영문·숫자·특수문자를 혼합해 지정하도록 해야 한다.

기존에는 사용자PC의 호스트 파일을 변조해 포털 사이트 및 금융관련 홈페이지 접속시 악의적인 홈페이지로 연결되는 방식이었다. 정상 도메인명을 입력해도 공격자가 구축한 사이트로 이동하기 때문에 사용자는 이상 여부를 식별하기 어렵다.

하지만 현재 이러한 공격방식은 대부분의 백신들이 탐지해 호스트 파일을 원상태로 복구하고 있다. 이를 우회하기 위하여 최근 공격자들은 IP대신 10진수 숫자를 입력하는 기법을 사용하고 있다. 호스트 파일에 입력된 10진수는 아래 예제처럼 16진수로 변경되고, 변경된 16진수는 최종적으로 10진수의 IP로 변경되어 파밍 사이트에 접속하게 된다.

예를 들면 공격자들은 호스트파일에 4294967295의 십진수를 입력하면 16진수인 FFFFFFFF로 변경되고 최종적으로 10진수 IP인 255.255.255.255로 변경돼 이 IP로 접속하게 된다. 만약 사용자들이 프로그램을 ‘설치하시겠습니까?’라는 물음에 무조건 ‘예’나 ‘다음’을 클릭한다면 악성코드가 설치될 수 있다. 따라서 내 컴퓨터에 설치되는 프로그램이 무엇인지 꼭 확인하고 설치해야 한다. 특히, 금융사이트 방문 시 평소와 다르게 개인정보를 추가 요구한다면 악성코드 감염을 의심해봐야 한다.

5. 브라우저 <iframe> 삽입

기존에는 피싱 공격을 수행하기 위해 특정 홈페이지를 해킹하고 서버 내부에 악성링크를 추가하거나 배너를 변조하는 방법으로 공격자가 원하는 사이트로 이동하도록 했다. 하지만 최근에는 사용자 PC를 감염시킨 후 브라우저를 조작해 피싱 사이트로 유도하는 기법이 발견됐다.

일단 악성코드에 감염되면, 정상 사이트가 열린 브라우저에 <iframe>을 이용해 악성링크 팝업을 삽입한다. 팝업 내용은 주로 금융 보안 업데이트며, 이 안내문을 정상사이트 위에 고정시켜 사용자의 클릭을 유도한다. 이때 모든 사이트가 아닌, 특정 포털이나 은행 사이트에서만 팝업이 열리기 때문에 사용자는 이상 여부를 판단하기 어렵다.

악성링크(팝업)를 클릭할 경우 금융기관을 사칭한 피싱사이트로 이동하게 되므로, 사용자 PC 정보뿐만 아니라 금융정보(비밀번호, 보안카드 등)까지 추가로 탈취될 수 있다. 따라서 어떠한 경우에도 금융거래 시 보안카드 번호 전체를 입력해서는 안된다. 이러한 요구를 하는 홈페이지가 있다면 금융정보탈취를 위해 악의적으로 만들어진 사이트이므로 각별히 주의해야 한다.

또한 금융사이트 이용 중 보안카드 번호를 제대로 입력했음에도 계속 번호 오류가 발생하거나 번호 입력 후 갑자기 비정상적으로 종료됐다면, 즉시 거래 금융사에 연락해 확인해야 한다. 만약 이상 징후가 있을 경우 계좌 지급정지를 신청하면 추가 피해를 막을 수 있다.

이때 사용하던 PC는 악성코드 탐지를 위해 브라우저를 종료한 다음 백신 프로그램을 실행해야 하며, 특히, 스마트폰인 경우 A/S 센터를 방문해 초기화를 실행하는 것이 좋다. 일부 보안카드 사용자 중에는 카드를 스캔해 파일로 저장해 놓는 경우가 있다.

이럴 경우 악성코드 감염 시 곧바로 금융사고로 이어질 가능성이 매우 높다. 보안카드는 반드시 실물을 사용하고, 1년에 한 번은 교체하는 것이 좋다. 교체가 번거롭다면 보안성이 좀 더 높은 OTP를 사용하는 것을 권장한다.

이처럼 최근 발견된 금융정보탈취 공격유형을 살펴보면 기존보다 더욱 고도화된 수법을 통해 사용자와 서버 관리자가 이상징후를 탐지하기 어렵도록 진화했다. 또한 PC의 인터넷 익스플로러(IE), 자바(Java), 플래시 플레이어(Flash Player) 등의 취약점을 종합적으로 확인한 후 가장 취약한 부분을 찾아 그에 맞는 악성코드를 추가로 다운로드하는 치밀함을 갖고 있다. 이에 사용자들은 윈도우뿐만 아니라 플래시, 자바 등 서비스 어플리케이션도 항상 최신 버전으로 업데이트해야 한다.
[자료: 한국인터넷진흥원(KISA)]

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>