• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

파밍용 악성파일, 애드웨어에 실려 전파중! 2013.07.26

금융정보탈취용 악성파일 KRBanker 종류, 애드웨어 통해 전파돼 \r\n

포털 블로그 및 인터넷 카페 등의 애드웨어 파일 내부에 위장

\r\n


\r\n

최근 금융사 보안모듈의 메모리를 변조하는 지능화된 공격방식의 파밍용 악성파일이 변칙적인 광고성 악성 프로그램인 애드웨어를 통해서 은밀하게 전파되는 정황이 포착됐다.

\r\n

\r\n

\r\n\r\n\r\n\r\n\r\n
\r\n

src=/news/photo/board/0725incs.jpg

\r\n

▲ 애드웨어 파일 내부에 숨겨져 다운로드 시 ‘kakutk.dll’라는 이름의 악성파일이 설치된다.
[출처 : 잉카인터넷 대응팀]


\r\n

그 실체를 처음 발견해 공개한 잉카인터넷 대응팀에 따르면 이번의 경우처럼 포털사이트의 블로그나 인터넷 카페 등에 마치 정상적인 프로그램처럼 둔갑한 애드웨어 파일의 내부에 별도 악성파일을 몰래 추가한 경우 애드웨어로 단순 분류되거나 보안패치가 최신으로 유지된 상태라 할지라도 추가 악성파일에 감염될 수 있어 주의가 필요하다는 설명이다.

\r\n


\r\n

그동안 전자금융사기를 위한 악성파일들은 불특정 다수의 웹사이트에 각종 보안 취약점 코드를 삽입하고 보안상태가 허술한 이용자들에게 무작위로 감염시키는 이른바 Drive By Download 기법이 주류를 이루고 있었다. 이로 인해 웹 관제시스템 등을 통해서 조기에 탐지하여 차단할 수 있었지만, 이번은 애드웨어에 파밍용 악성코드가 실려 전파돼 조속한 탐지 및 대응이 쉽지 않다는 것.

\r\n


\r\n

잉카인터넷 대응팀 문종현 팀장은 “자체 조사한 결과 이미 다수의 애드웨어 프로그램들이 변조되어 파밍용 악성파일을 전파해주는 또 다른 매개체로 악용되고 있는 사실을 확인했다”며, “이처럼 전자금융사기용 악성파일들은 유포기법부터 감염방식까지 갈수록 고도화·지능화되고 있는 추세”라고 설명했다.

\r\n


\r\n

덧붙여 그는 “이런 방식은 자신의 컴퓨터가 최신의 보안상태를 유지하고 있더라도 변칙적인 광고프로그램에 현혹되어 노출되는 순간 파급력 및 위험도가 높은 전자금융사기용 악성파일에 동시 감염될 수 있다는 점에서 의미하는 바가 크고 이용자들의 각별한 주의가 요망된다”고 우려했다.

\r\n

\r\n

우리나라 인터넷 뱅킹 이용자들을 겨냥한 맞춤형 악성파일인 KRBanker 종류는 변종이 거의 매일 발견되고 있을 정도로 그 심각성이 높아지고 있고, 우후죽순으로 퍼져나가고 있는 것으로 알려졌다. 더욱이 사이버 범죄자들은 이미 글로벌 기업형 사기단으로 활동할 정도로 조직이 발전하고 있고, 사이버상의 암적 존재로 자리매김하고 있는 상태라고 할 수 있다.

\r\n


\r\n

이제는 초기 호스트파일(hosts)을 변조하는 고전적인 단순수법에서 벗어나 나날이 고도화되고 있고, 보안모듈을 우회하거나 직접적으로 겨냥하는 등 치밀하고 과감해지는 추세라는 게 잉카인터넷 대응팀 측의 설명이다.

\r\n

\r\n

특히, 최근 발견된 사례는 Drive By Download 방식의 웹 보안취약점을 이용하지 않고, 인터넷 이용자들의 활동반경과 심리를 절묘하게 역이용하여 기존에 뿌려지고 있던 애드웨어에 KRBanker 변종 악성파일을 추가하는 방식을 도입했다는 것. 따라서 이용자가 운영체제와 주요 응용프로그램의 최신 보안업데이트를 설치한 경우라도 애드웨어에 노출되는 순간 악성파일에 무장해제되는 잠재적 보안위협에 노출될 수 있다.

\r\n

\r\n

잉카인터넷 대응팀의 분석결과에 따르면 변조된 애드웨어 다운로더 프로그램이 실행된 후 약 10~20초 정도가 지나면 ‘kakutk.dll’ 이름의 추가 악성파일이 설치된다. 2013년 5월경까지 발견되었던 ‘kakutk.dll’ 악성파일은 국내 유명 온라인게임 계정탈취용 기능만 보유하고 있었으나, 7월경부터는 온라인게임 계정탈취 기능에 파밍 기능까지 추가된 상태로 발전된 상태다. 해당 악성파일은 온라인 게임 계정탈취 기능도 함께 보유하고 있으며, 악성 드라이버 파일을 생성해서 유명 보안 솔루션들이 정상적으로 작동하지 못하도록 방해기능을 시도하기도 하는 것으로 분석됐다.

\r\n


\r\n

문 팀장은 “기존에도 애드웨어 종류의 악성파일을 변조하거나, 해당 사이트를 해킹하여 온라인게임 계정탈취용 악성파일이 배포된 경우는 여러 번 보고된 바 있다”며, “이러한 사이버 범죄자들이 온라인게임 계정뿐만 금융정보 탈취도 적극적으로 시도하고 있어 앞으로 다양한 방식의 공격이 추가 발생할 것으로 우려된다”고 설명했다.

\r\n


\r\n

이어 그는 “사이버범죄자들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다”며, “따라서 과도하게 금융정보를 요구하는 웹사이트가 있다거나 절대 공개되어서는 안 되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억해야 한다”고 강조했다.

\r\n

[권 준 기자(editor@boannews.com)]