메모리해킹이란, 컴퓨터 메모리에 있는 수취인 계좌번호, 송금액 등을 변조하거나, 정상 거래 도중 보안카드 번호 등을 절취한 뒤 돈을 빼돌리는 새로운 해킹방식이다.

기존 메모리해킹 수법은 이체 시 금융계좌 정보를 바꾸어 돈을 빼돌리는 방식이었다. 그러나 최근 발견된 메모리해킹은 정상 은행 사이트에서 이체 도중 팝업창을 띄워 보안카드 번호를 요구하고 있다. 특히 이 방식은 은행사이트에 정상 로그인이 되고, 정상 계좌 정보가 뜨며, 정상 이체 도중 발생하기 때문에 해킹 여부를 의심하기 어렵다.

그렇다면 금융거래 이용자들은 어떠한 증상을 가지고 메모리해킹을 의심할 수 있을까? 3가지 요령을 토대로 알아보자.

첫째, 정상적인 이체 도중 팝업창을 통해 ‘보안카드를 입력하라’는 등 과도한 정보를 요구한다.

은행에서 보안카드 번호를 모두 입력하도록 요구하는 일은 없다. 과도한 정보를 요구한다면 내 컴퓨터가 해킹 당한 것인지부터 의심해야 한다.

둘째, 주소 표시줄에 자기가 사용하던 백신이 사라졌거나 은행 접속시 설치되는 보안프로그램이 뜨지 않는다.

악성코드 진단과 치료를 위해서는 보안 프로그램들이 필요하다. 그러나 악성코드들은 탐지 및 치료를 피하기 위해서 보안프로그램을 무력화시키게 된다. 따라서 자신이 사용하는 백신이 정상적으로 동작하지 않거나 은행 접속시 설치되는 보안프로그램이 깔리지 않는다면 내 PC의 악성코드 감염 가능성을 의심해야 한다.

셋째, WSHTCPIP.DLL 파일의 크기와 날짜가 변경돼 있다.

‘C:\Windows\System32’ 폴더에 들어가면 WSHTCPIP.DLL라는 파일이 있다. 이 파일은 본래 PC에 저장된 파일로, 메모리해킹 악성코드가 설치되면 변경되는 경우가 대부분이다. 따라서 이 파일의 정보를 미리 저장해 놓은 후 의심스러울 경우,  파일 크기나 수정날짜가 변경됐는지를 확인하는 것이 좋다. 만약 정보가 없다면 파일 속성을 확인해 파일 수정날짜가 최근인지 확인하면 된다. 최근이라면 악성코드에 감염됐을 가능성이 높다.

이처럼 메모리해킹이 의심되는 증상이 발생했을 때 사용자들은 어떻게 대처할 수 있을까?

먼저 해당 컴퓨터에서 인터넷 뱅킹 이용을 중지해야 한다. 또한, 악성코드 감염 가능성이 높으므로 이체 등과 같은 인터넷 뱅킹을 중지하고, 우선 자신의 컴퓨터에 깔린 백신으로 검사해야 한다.

그러나 백신이 해당 악성코드와 관련해 탐지 패턴을 잡지 못하는 경우가 발생할 수 있으므로 또 다른 종류의 백신을 설치해 검사해보는 것이 좋다. 백신을 통해 악성코드가 검출되면 치료를 하면 되고 검출되지 않는다면 만약의 상황에 대비해 치료 패치가 나올 때까지 기다려야 한다.

그러나 많은 사람들이 하루라도 빨리 자신의 컴퓨터에 존재하는 악성코드를 치료하고 싶어할 것이다. 만약 자신이 사용하고 있는 백신의 유료 사용자라면 해당 백신 회사에 연락해 원격점검으로 악성코드 감염 유무와 치료를 요청할 수 있으며, 유료 버전 사용자가 아니라면 보호나라를 통해 PC 원격점검 서비스를 요청할 수도 있다.

이외에 금융회사에 연락해 결제 도중 보안카드 번호를 입력하라고 요구하는 등 평소와 다른 증상에 대해 설명하며 정상적인 동작인지 문의하는 방법이 있다.

이와 관련 보안전문업체 하우리의 최상명 차세대보안연구센터장은 “메모리해킹의 경우 일반 사용자가 알아내기란 쉽지 않다. 그러나 이상 징후 발생시 WSHTCPIP.DLL 파일정보 변경 여부를 확인하고 이상이 있다면 인터넷 뱅킹 사용을 중지해야 한다”고 강조했다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>