PC 통해 감염되는 스마트뱅킹 악성코드도 유포

스마트폰 환경설정->개발자 옵션->USB 디버깅 해지해야  

[보안뉴스 김경애] 최근 이용자가 PC에서 은행사이트를 입력해도 가짜 파밍 IP 주소로 연결되는 악성코드와 스마트폰에서 공인인증서를 탈취하는 악성코드가 기승을 부리고 있어 이용자들의 주의가 요구된다.

지난 29일 국내 한 사회복지법인 사이트가 악성코드 공급지로 악용되는 정황이 포착됐다. 이는 공격자가 웹사이트 취약점을 이용해 악성코드를 올려놓은 것으로, 이용자가 여러 경유지를 거쳐 최종 유포지에 방문하면, 해당 사회복지법인 사이트에 올려놓은 악성코드가 다운로드된다.

이와 관련 악성코드 전문추적그룹 이슈메이커스랩의 최상명 리더는 “해커가 다수의 악성코드를 심어놓기 위해 보안이 취약한 사이트를 물색하던 중 해당 사이트를 찾아 악성코드를 업로드 한 것으로 추정된다”며 “일주일 동안 파일명이 여러 번 바뀌었으며, 해당 사이트에 올라온 악성코드 중에는 DNS 서버 루프백(Loopback)을 이용해 파밍 사이트로 연결하는 악성코드 유형과 스마트폰에서 공인인증서를 탈취하는 악성코드 유형도 발견됐다”고 밝혔다.

루프백은 컴퓨터의 네트워크 입출력 기능을 시험하기 위해 가상으로 할당한 인터넷 주소(127.0.0.1)이다. 실제로는 외부 네트워크에 연결되어 있지 않은 소프트웨어적 입출력 주소로, 이 주소로 발송된 데이터들은 되돌아서 다시 이 주소로 수신된 것처럼 동작하게 된다.

이용자가 루프백을 이용한 악성코드에 감염되면 PC 자체적으로 DNS 서버가 만들어진다. 이로 인해 이용자가 PC에서 은행사이트를 입력해도 가짜 파밍 IP 주소로 연결돼 계좌번호, 비밀번호, 보안카드번호 등의 금융정보를 단계적으로 탈취해 갈 수 있다.  

최 센터장은 “루프백 방식은 작년 중순부터 조금씩 발견됐는데, 이번에 다시 등장했다”며 “일반적으로 이용자가 도메인을 입력하면 공식적인 DNS 서버를 이용해야 하는데, 루프백 IP로 DNS 서버를 만들게 되면 이용자가 요청한 도메인 IP를 가짜로 알려줄 수 있다”고 설명했다.

또한, 스마트뱅킹 악성코드가 드라이브 바이 다운로드(Drive By Download) 방식으로 웹을 통해 유포되고 있는 것으로 나타났다. 감염된 PC에 스마트폰을 연결하면 스마트뱅킹 악성코드가 스마트폰을 감염시키고, 스마트뱅킹 앱을 실행시키면 다음과 같은 공지문구가 스마트폰 화면에 뜨게 된다. 

‘금융감독당국 정책에 의거 전 금융기관이 공동 시행하는 전자금융사기 예방서비스 전면시행을 아래와 같이 안내하오니,사전에 연락처 정비 및 서비스 가입을 부탁드립니다. 전면시행일:2015년2월27일(예정)연락처 정비 및 서비스를 미가입한 경우 본인확인절차 강화대상금융거래가 중단될 수 있습니다.’

이에 대해 최상명 센터장은 “악성코드에 감염되면 이전에 다운로드한 정상 스마트뱅킹 앱을 악성코드가 가짜 뱅킹 앱으로 바꿔치기해서 실행시킨다”며 “이번에 발견된 스마트폰용 악성코드에 감염될 경우 이용자가 입력하는 패스워드, 계좌번호, 보안카드, 공인인증서 등 금융정보를 홍콩에 있는 서버로 탈취해간다”고 설명했다.

PC와 연결해 스마트폰과 저장된 데이터를 주고받기 위해 스마트폰 환경설정에서 USB 디버깅을 체크하는 경우도 있지만, 이를 통해 악성코드가 전파할 수 있기 때문에 주의해야 하다는 게 최 센터장의 설명이다. 일반적으로 USB 디버깅은 스마트폰을 루팅할 때 주로 활용하기 때문에 USB 디버깅 체크는 해제하는 것이 바람직하다는 것. 다만, 이번에 발견된 악성코드는 스마트폰에 공인인증서가 저장되어 있지 않으면 작동하지 않는 것으로 분석됐다. 

따라서 이번에 발견된 스마트뱅킹 악성코드로 인한 피해를 최소화하기 위해서는 스마트폰 환경설정->개발자 옵션->USB 디버깅 체크를 푸는 것이 바람직하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>