트로이목마 결합 첫 사례…온라인 게임 로그인 계정 가로채기도

국민은행과 농협 등 주요 국내 은행 인터넷 뱅킹 사이트로 위장 피싱사이트로 인한 피해가 발견돼 인터넷 뱅킹 이용자들의 주의가 요구되고 있는 가운데, 안철수 연구소 (대표 오석주,  www.ahnlab.com)는 21일 해당 피싱 사이트 접속은 차단됐지만 유사한 사례가 이어질 가능성이 있다고 밝혔다.

이번에 발견된 피싱사이트는 트로이 목마와 결합된 첫 사례로 뱅키.101376(Banki.101376)라는 트로이목마가 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열린다. 이 사이트는 주민등록번호, 이름, 통장비밀번호, 인증 밀번호, 보안카드비밀번호 등 금융 거래를 위한 개인정보를 입력하도록 했다.

뱅키.101376 트로이목마는 뱅키.61440 트로이목마에 의해 설치된 것으로 밝혀졌으며, 인터넷 주소를 저장하는 파일인 호스트 파일의 기존 정보를 삭제한 후, 다른 정보를 저장해 가짜 웹 사이트에 접속하게 한다. 이 바이러스는 인터넷 뱅킹용 인증서 관련 파일이나 온라인 게임 로그인 계정의 ID, 비밀번호를 가로채 특정 인터넷 주소로 빼내는 기능을 갖고 있는 것으로 밝혀졌다.

한국정보보호진흥원(KISA, 원장 이홍섭)이 20일 발표한 바에 따르면 국내 은행을 위장해 이용자들이 금융정보를 입력하도록 유도하는 2개의 피싱 사이트가 신고 접수 됐으며, 이들 사이트는 대만에 서버를 둔 것으로 확인됐다. 

이 사이트들은 이메일을 이용해 접속을 유도하는 것이 아니라 사용자가 인터넷 브라우저에 은행 사이트 주소를 직접 입력해도 위장사이트에 접속하도록 돼 있다. 다만 정상적인 인터넷 뱅킹은 개인정보를 여러 단계에 거쳐 입력하지만 이 사이트는 한 화면에 모든 정보를 입력하게 돼 있다.

KISA는 “해당 피싱 사이트 접속을 차단하고 대만 침해사고 대응팀에 해당 사이트에 대한 조치와 추가 정보를 요청했다”며 “일반 사용자도 윈도 보안패치를 철저히 하고 최신 바이러스 백신을 사용해 PC를 주기적으로 점검해야 한다”고 당부했다.

피싱과 같은 의심스러운 사이트를 발견하거나 PC가 감염됐을 경우 한국 인터넷침해사고대응지원센터나보호나라 홈페이지(www.krcert.or.kr, www.boho.or.kr)를 방문하거나, 전화(118)로 문의한다.

자신의 PC에 호스트 파일이 설치됐는지 확인하고 수동으로 치료한다면, 시작메뉴에서 → 실행 → hosts 파일 위치입력 후 확인을 클릭한다.

운영체제가 Windows XP라면

C:\windows\system32\drivers\etc\hosts, 

Windows 2000/NT라면 C:\WINNT\system32\drivers\etc\hosts

연결프로그램 창이 열리면 메모장을 선택하고 확인을 클릭한 후 은행 홈페이지 주소가 있는지 확인한다.

호스트 파일이 확인 됐다면, 컴퓨터를 안전모드로 재 부팅한 후 윈도우 폴더에 생성된 앇어파일 ‘SVCH0ST.exe’을 삭제한다. 호스트 파일은 Windows XP체제에는 C:\Windows\에, Windows NT/2000 체제에서는 C:\Winnt\에 있다.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load에서 악성코드가 생성한 레지스트리 항목인 c:\\windows\SVCH0ST.EXE을 삭제한다.

그리고 난 후 hosts 파일에 삽입된 금융관련 사이트를 삭제한다.

61.222.186.60    ibn.kbstar.com

140.119.210.85   banking.nonghyup.com

140.119.210.85   bank.nonghyup.com

호스트 파일의 위치는

Windows XP는 C:\windows\system32\drivers\etc\hosts

Windows 2000/NT는 C:\WINNT\system32\drivers\etc\hosts 이다.

[김선애 기자(boan1@boannews.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>