이용자 컴퓨터 시작 페이지 변경...인터넷 접속과 동시에 가짜 파밍 웹사이트에 접속

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲ PAC 파밍 공격 흐름도

[시큐리티월드 원병철 기자] 씨티카드의 불법 현금 인출 사건을 비롯해 최근 사용자의 금융정보를 노리는 다양한 공격들이 기승을 부리고 있는 가운데, 이번에는 인터넷 뱅킹 사용자를 노린 금융 파밍 악성코드가 유포된 정황이 드러났다.

순천향대 사이버보안연구센터(센터장 정보보호학과 염흥열 교수, 이하 센터)는 최근 국내 인터넷 뱅킹 이용자를 대상으로 프락시 서버 설정 방식으로 작동하는 악성코드가 유명 쇼핑몰 사이트를 통해 유포되고 있어 금융 이용자의 주의가 요구된다고 밝혔다.

센터가 탐지한 유명 쇼핑몰 사이트의 경우 5일 동안 두 번 연속 파밍 악성코드 경유지로 악용되고 있었다. 센터는 사용자의 피해를 줄이기 위해 해당 사이트를 한국인터넷진흥원에 신고해 피해 확산을 차단했다.

악성코드 유포 방식은 CK VIP 익스플로잇 킷을 이용한 ‘드라이브 바이 다운로드(Drive-by-Download)’ 방식이다. 취약한 버전의 응용 프로그램을 사용하는 이용자가 해당 쇼핑몰 사이트에 방문할 경우 이용자도 모르게 해당 악성코드에 감염된다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n

	▲ 금융 정보 입력 유도 웹 페이지

악성코드 동작 방식은 ‘프락시 서버 자동 설정(Proxy Auto-Config)’ 방식으로, ①이용자가 쇼핑몰 사이트를 방문하게 되면 악성코드에 감염되며 ②이용자 컴퓨터에서 파밍 악성코드가 실행되어 이용자 컴퓨터가 프락시 방식으로 동작하도록 변경된다. 이후 ③이용자 컴퓨터의 모든 트래픽은 프락시로 전달되며, ④프락시에서는 사용자가 입력한 인터넷 주소가 악성코드 스크립트 내 주소와 일치하면 사용자를 가짜 파밍 사이트로 재연결한다. ⑤가짜 파밍 웹사이트에서는 이용자에게 계좌번호, 비밀번호 등 개인 금융 정보의 입력을 유도한다. 또한 ⑥이용자의 컴퓨터에 설치된 악성코드로부터 공인인증서까지를 탈취해 간다.

순천향대 사이버보안연구센터 이지오 연구원은 “유명 쇼핑몰이 파밍 악성코드 경유지 사이트로 이용되고 있다는 사실을 한국인터넷진흥원에 신고해 금융 이용자의 피해를 줄였다”면서 “온라인 쇼핑몰 방문 이후 인터넷 접속 시 갑작스럽게 예전에 없던 금융정보를 요구하는 등의 경우 악성코드 감염된 것으로 의심해야 한다”고 강조했다.
[글 시큐리티월드 원병철 기자(boanone@boannews.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>