지난 22일 한 보안전문가에 의하면 지난주에 온라인 고객을 표적으로 한 공격으로 미국, 유럽과 아시아 등지의 50 여개 금융기관의 서비스가 중지되었다고 한다.

Websense Inc.의 선임 보안 연구원인 Henry Gobnzalez는 “이번 공격은 피해 금융기관의 웹사이트와 비슷한 웹사이트를 각각 설치하는 등 해커들이 많은 노력을 들인 공격이라는 점에서 주목할 만하다”고 말했다.

Websense에 의하면 피해가 발생하기 위해서는 치명적인 취약점을 공격하는 악성코드를 호스팅하는 웹사이트로 유도되는데, 이 취약점은 마이크로소프트의 소프트웨어에서 발견되었다고 한다. 

마이크로소프트로부터 패치가 배포된 이 취약점은 악성코드가 설치된 웹사이트를 이용자가 단순히 방문하는 것만으로도 피해가 발생할 수 있어서 특히 위험하다.

일단 웹사이트로 유도되면 패치되지 않은 컴퓨터는 ‘iexplorer.exe,’라는 이름의 트로이언 파일 외에 5개의 파일을 러시아에 있는 한 서버로부터 다운로드한다. 웹사이트는 오류 메시지와 함께 이용자의 방화벽과 안티바이러스 소프트웨어를 끌 것을 요청하는 메시지만을 표시한다.

감염된 PC를 가진 이용자가 목표 은행 사이트 중 어느 하나를 방문할 경우 해당 은행 웹사이트의 위장 사이트로 유도된다. 이 위장 사이트는 이용자의 로그인 정보를 수집해서 러시아에 있는 서버로 전송하는 역할을 한다. 그 다음에 이용자는 공격을 알 수 없도록 하기 위해서 이미 로그인한 정상적인 사이트로 되돌려 진다. 

이러한 기술은 ‘파밍(Pharming)’ 공격으로 알려져 있는데, 부주의한 이용자들이 개인 정보를 입력하도록 유도하는 위장 웹사이트를 포함하고 있는 피싱 공격은 피해자들이 스팸 메시지의 링크를 클릭하도록 자극하여 웹사이트로 유도하지만, 파밍은 공격은 웹브라우저에 실제 사이트의 주소를 입력하더라도 위장 사이트로 피해자들을 접속하게 해 더욱 위험하다.

독일, 에스토니아와 영국에 위치했던 악성코드를 호스팅하는 웹사이트와 위장 웹사이트는 ISP에 의해 지난 22일 오전에 정리되었다고 관계자는 전했다.

최소 3일간 지속되었던 이번 공격에 피해를 본 이들의 규모는 명확하지 않다. Websense는 “계좌에서 돈이 인출된 사람에 대해서 듣지는 못했다. 그렇지만, 실제로 문제가 생겼더라도 사람들이 공개를 꺼린다”고 밝혔다.

한편 이 공격은 감염된 기계를 공격자가 원격에서 조종하기 위해 PC에 ‘봇’도 함께 설치했다. 역공학과 여러 가지 기술을 이용하여 Websense 연구원들은 봇 조종기의 화면을 획득할 수 있었다.

조종기는 또한 감염 통계를 보여주기도 하는데, Websense는 주로 미국과 호주에서 하루에 최소 1천 개 정도의 기계가 감염되었다고 전했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>