애드웨어를 통한 메모리해킹 ‘KRBanker’ 변종 악성파일이 유포되고 있어 이용자들의 주의가 필요하다. 이 악성파일은 국산 Adware 프로그램 변조를 통해 인터넷 뱅킹 공격을 시도하고 있는 것으로 밝혀졌다.

\r\n

\r\n

지난 2013년 12월 23일 잉카인터넷 대응팀은 국내에 지속적으로 유포 중인 변칙적 광고프로그램(Adware)을 조작한 후, 메모리 해킹용 인터넷 뱅킹 악성파일(KRBanker) 변종을 몰래 유포시키고 있는 정황을 포착했다. 이 수법은 전자금융사기 범죄자들이 보안업체의 관제 및 탐지를 우회하기 위해서 애드웨어 모듈까지 은밀히 변조하여 사용하고 있는 지능적 공격방식이다.

\r\n

\r\n

잉카인터넷 대응팀은 “지난 2013년 7월경에도 이와 관련된 정보를 처음 공개한 바 있으며, 2013년 12월에 동일 방식의 메모리 해킹 기능의 인터넷 뱅킹용 악성파일(KRBanker) 변종이 다수 전파되고 있는 사실을 확인했다”면서 “악성파일 유포자들은 각종 애드웨어들의 유포 통로를 통해서 은밀하고 조용하게 고도화된 전자금융사기용 악성파일을 배포하는 창구로 악용하고 있다. 국내에 유포 중인 대부분의 변칙 광고프로그램들은 마치 정상적인 다운로드 프로그램이나 런처 등으로 위장해 이용자들을 현혹시키고 있고 무수히 많은 변종들이 양산되고 있는 추세”라고 설명했다.

\r\n

\r\n

한 예로 이용자들이 유명 포털 검색 사이트를 통해서 특정 프로그램을 검색하면 공식 사이트가 아닌 개인 블로그나 인터넷 카페 등에 등록되어 있는 비정상적인 다운로드 프로그램을 안내하고 제휴프로그램이라는 명목으로 이용자 몰래 다수의 애드웨어를 설치하도록 유도하고 있다. 대부분의 변칙 광고프로그램은 이용자들에게 실제 설치되는 화면을 보여주지 않고 몰래 설치하기 때문에 그 과정을 인지하기 어렵다.

\r\n

\r\n

잉카인터넷 측은 “이와 같이 검색결과를 통해서 접속한 특정 블로그에 마치 정상적인 APK 파일처럼 위장한 다운로드 링크가 존재하지만, 실제로 클릭을 하게 되면 실행형(EXE) 프로그램이 다운로드되어 이용자의 실행을 유도하고, 교묘하게 숨겨져 있는 추가 다운로드 프로그램을 통해서 다수의 애드웨어들이 몰래 설치되도록 하는 방식”이라고 덧붙였다.

\r\n

\r\n

이렇게 전파 중인 애드웨어도 사회적인 문제이지만, 사이버 범죄자들이 이런 광고프로그램의 모듈을 추가 변조해 인터넷 뱅킹용 악성파일 전파에 남용하고 있는 상황이고 애드웨어 업체들에 대한 법률적 규제사항이 부족해 무분별한 유포로 이어지고 있는 실정이다.

\r\n

\r\n

이에 잉카인터넷 대응팀은 비정상적인 유포방식에 대한 자체 기준안을 통해 이용자들의 불편을 최소화하는데 초점을 맞추고, 악성파일 유포 경유지로 악용되는 사례 공개와 이용자 관점에서 탐지 및 치료 패턴을 지속적으로 추가하고 있다.

\r\n

\r\n

국산 애드웨어처럼 위장한 인터넷 뱅킹용 악성파일은 2013년 12월 23일 경 다수의 변종이 제작됐으며, 파일 섹션명을 동일하게 사용하는 특징도 존재한다. 이번에 공개한 특정 애드웨어 외에도 다른 업체의 애드웨어도 동일 범죄조직에 의해서 인터넷 뱅킹 악성파일 변종유포에 이용한 사례가 다양하게 존재한다. 국내 허위 보안제품을 조작해 메모리 해킹용 악성파일을 유포된 경우도 있었다.

애드웨어 프로그램으로 위장한 악성파일이 실행되면, 국내 온라인 게임 계정 및 인터넷 뱅킹용 악성파일 등이 다양하게 설치하며 원래 실행됐던 악성파일은 본래의 애드웨어 프로그램으로 정상 교체하여 자신의 노출을 최대한 숨기려고 한다.

\r\n

\r\n

설치된 ‘kakutk.dll’ 악성파일은 국내 금융사이트를 대상으로 메모리 해킹 및 금융정보 탈취 기능을 수행하며, 변종이 꾸준히 발견되고 있다.

\r\n

\r\n

이번 메모리 해킹 변조용 인터넷 뱅킹 악성파일은 기존 금융보안 모듈 변조 대상에서 일부 모듈이 추가되었고 대상 금융사이트와 함께 보안카드 입력 오류처럼 위장하는 수법도 추가됐다.

\r\n

\r\n

잉카인터넷 대응팀 관계자는 “내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세”라며 “여기에서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것”이라고 설명했다.

\r\n

\r\n

또한 그는 “이에 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러 차례 강조했던 것처럼 절대 공개되어서는 안 되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱 사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것”이라고 강조했다.

해당 악성 파일은 대부분의 국내 금융권 사이트를 피싱 대상으로 삼고 있으며, 감염 후 인터넷 뱅킹 사이트에 접속 시 대부분의은행 사이트와 매우 유사하게 제작된 사이트를 사용자들에게 보여주기 때문에 일반 사용자들의 경우 감염 여부를 육안으로 손쉽게 식별해 내기는 어려울 수 있어 이용자들은 주의해야 한다.

\r\n

\r\n

“특히 2014년에는 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 한다”고 잉카인터넷 측은 강조했다.

\r\n

[김태형 기자(boan@boannews.com)]