보안업데이트 실시하지 않은 취약한 PC 사용자가 주 범행대상

[보안뉴스 민세아] 국내 인터넷 이용자들의 공인인증서 37,175건을 탈취해 2억여 원을 챙긴 일당이 지난 6일 인천에서 검거됐다.

이들은 지난 2015년 3월 8일 경 보안이 취약한 이용자들의 PC에 악성코드를 감염시켜 PC에 저장돼 있는 37,175건의 공인인증서를 탈취해 미국 소재 서버로 전송했다.

이용자들이 포털사이트나 인터넷뱅킹에 접속할 때 각 은행별 파밍사이트로 이용자들을 유도해 보안카드 번호 등 금융정보를 추가로 입력받는 방법으로 총 198명의 금융정보를 수집·탈취했다.

이후 피해자 12명의 금융계좌에 인터넷뱅킹으로 접속해 대포통장계좌로 2억원 상당의 금액을 이체했다.

경찰청은 범행시작 후 중국에서 국내로 입국해 피해자 12여명으로부터 2억 상당을 편취한 혐의로 조선족 인출 총책 A씨(28세)를 구속하고, 같은 인출책인 공범 B씨(32세)를 불구속하는 한편, 중국에 주거하는 조선족 총책 C씨(26세)의 인적사항을 특정해 중국 당국에 공조수사를 요청했다.

구속된 A씨는 인출시 편의를 위해 범행수익금으로 최근 고급 중형승용차를 중고로 구매한 후, 악성프로그램에 감염된 피해자들을 상대로 범행을 지속하려고 했던 것으로 확인됐다.

이 사건은 보안이 취약한 PC 사용자가 주 범행 대상으로, 범행에는 운영체제, 익스플로러(IE), 자바(JAVA), 플래시 플레이어 취약점 등이 악용됐다. 사용자들이 운영체제 및 인터넷 브라우저 관련 프로그램을 최신 버전으로 업데이트 하지 않았을 경우 피의자가 미리 해킹한 사이트에 접속하는 순간 감염되는 것이다.

이들은 악성코드 감염시 사용자 PC에 저장된 공인인증서 파일을 미국 소재 서버로 자동 전송하고, 포털사이트 및 인터넷뱅킹 접속시 파밍사이트로 유도해 보안카드 등 금융정보를 입력받아 미국 소재 서버로 추가 유출했다.

유출된 정보는 △이름 △주민등록번호 △계좌번호 △계좌비밀번호 △사용자 아이디·비밀번호 △휴대폰번호 △이체비밀번호 △보안카드 일련번호·정보 △인증서 비밀번호 △OTP 카드번호 △일회용비밀번호 등이다.

기존에는 악성코드가 지정한 파밍사이트로 단순 유도하는 방법이었으나 발각시 접속이 차단되는 문제로 인해 이번에는 DNS 설정을 변조하는 등 신종 IT 수법을 사용했다. 파밍사이트 정보를 실시간으로 중국 블로그에서 전송받아 유동적으로 접속하도록 악성코드를 제작했다.

이들은 사용자를 속이기 위해 포탈사이트 화면 위에 팝업창을 띄우는 방법을 사용하는 등 정교하고 교묘하게 피싱 페이지를 제작했다.

다행히 경찰청 측이 금융정보를 탈취·저장중인 미국 소재 서버를 조기에 확보해 피해를 최소화할 수 있었다. 서버에 저장돼 있던 37,175건의 공인인증서 등 금융정보를 확인한 후 금융결제원에 공인인증서 유출사실을 통보하고 긴급 폐기조치를 취했다. 한국인터넷진흥원(KISA)과 악성코드 유포사이트, 금융정보 탈취 해외서버에 대한 정보공유와 함께 백신에 반영토록 조치했다.

경찰청 사이버안전국은 파밍 등의 금융범죄가 계속 진화함에 따라 향후에도 이러한 범죄가 계속해서 발생할 것으로 예상하고 있다. 이에 금융결제원, 금융보안원, 한국인터넷진흥원 등 유관기관과의 긴밀한 정보공유로 중국내 금융사기 조직에 대한 수사도 확대할 방침이라고 밝혔다.

또한, 최근 해커들이 신종 취약점을 이용해 악성코드를 제작하는 사실에 주목해 네티즌들이 악성코드 감염을 사전에 예방할 수 있도록 운영체제·인터넷 브라우저·자바·플래시 플레이어 프로그램을 최신 버전으로 업데이트 할 것을 당부했다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>