[보안뉴스 김경애] ‘파밍 공격’은 공격자가 가짜 인터넷 뱅킹 사이트를 만들어 놓고, 정상적인 은행 고객을 가짜 사이트로 유도해 고객으로부터 인터넷 뱅킹 관련 인증 정보를 탈취해 고객의 돈을 훔쳐가는 대표적인 인터넷 뱅킹 서비스의 공격 방식으로 잘 알려져 있다.

그러나 최근 이러한 파밍 공격에 이용되는 악성코드 공격 방식에 변화가 일고 있어 이용자들의 각별한 주의가 요구된다.

순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)에 따르면 새롭게 발견된 악성코드는 접속만 해도 사용자가 인지하지 못하는 사이 악성코드가 설치되는 Drive-by Download 방식이라며 국내에서 많이 이용되는 스윗오렌지킷(Sweet-Orange Exploit Kit)으로 유포되고 있다고 밝혔다.

이와 관련 순천향대 SCH사이버보안연구센터의 김동석 연구원은 “해당 악성코드는 11월초부터 16일까지 발견되고 있다”며, “국내 주요 은행사이트와 포털사이트를 가장해 주로 발견되고 있다”고 말했다.

지금까지 파밍 악성코드는 호스트파일을 변조해 가짜 인터넷뱅킹 사이트로 유도하는 방식이었다면, 이번에 발견된 악성코드는 DNS의 정보를 가지고 실행되고 있는 svchost.exe 프로세스의 dnsapi.dll에 메모리를 변조해 DNS 정보 참조 위치를 바꾸어 가짜 인터넷뱅킹 사이트로 연결을 유도하는 방식으로 변했다는 것.

사용자가 URL을 요청하게 되면 서비스가 svchost 프로세스를 이용해 호스트파일을 참조해 주소를 가져오게 된다. 특히 이번에 발견된 악성코드에 감염되면 실행 중인 svchost 프로세스의 메모리를 변조해 호스트파일을 참조하는 경로를 악성코드가 생성한 가짜 주소파일을 참조하게 되어 가짜 주소로 이동하게 된다는 것이다.

이와 관련 김동석 연구원은 “이번에 발견된 악성코드 공격자와 지난번 발견한 공인인증서를 유출한 공격자와 같은 조직으로 추정되고 있다”며 “해당 악성코드 셈플은 관련기관에 신고했다”고 밝혔다.

이어 김 연구원은 “최근 밝혀진 파밍 공격방식의 변화는 악성코드 탐지에 있어 공격자가 호스트파일의 위변조가 검출되지 않도록 만든 기법”이라며 “사용자들은 이러한 공격에 대비해 항상 백신 업데이트를 최신 버전으로 유지하는 것이 중요하다”고 강조했다.

특히 백신의 경우 일부 행위기반을 탐지하는 백신은 탐지할 수 있으나, 그렇지 않은 백신은 탐지할 수 없다는 것. 따라서 안티 익스플로잇 제품 등으로 피해를 예방해야 한다고 당부했다.

[용어 설명]
·svchost.exe : svchost.exe는 Windows(윈도우)에서 다양한 기능을 수행하는 데 사용하는 기타 개별 서비스를 호스팅하거나 포함하는 컴퓨터의 프로세스이다(http://windows.microsoft.com/ko-kr/windows/what-is-svchost-exe#1TC=windows-7).

·dnsapi.dll : Windows 운영 시스템을 위해 Microsoft에서 개발한 DLL 파일이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>