파밍을 통해 금융정보를 탈취해 온 해커들이 인터넷망을 전용망처럼 쓸 수 있게 해주는 가상사설망(VPN)을 악용해 보안기관의 탐지 및 차단을 피하고 있는 것으로 나타났다. 보안을 위해 사용되는 기술이 오히려 해킹도구로 악용된 셈이다.
하우리(대표 김희천)는 최근 파밍 공격자들이 악성코드에 VPN 구축 기능을 추가해 탐지 및 차단을 우회하고 있다고 29일 밝혔다. 이 회사는 자사 취약점 공격 사전차단 솔루션 'APT실드'를 통해 이 같은 정황을 파악했다.
파밍은 사용자가 정상 사이트에 접속해도 가짜 사이트로 접속되도록 유도하는 공격 기법이다. 기존 파밍 악성코드에 감염된 PC로 가짜 인터넷뱅킹 사이트에 접속하게 되면 한국인터넷진흥원(KISA)과 인터넷서비스제공업체(ISP)와 협력해 '파밍 알리미' 서비스를 통해 해당 사이트 접속가 차단됐다. 새로 발견된 악성코드는 이를 회피하기 위해 VPN을 악용했다. 해당 악성코드에 감염된 사용자 PC로 인터넷 뱅킹 사이트에 접속을 시도하면 해커가 미리 구축한 VPN서버를 경유하도록 했다.
관련기사
- QR코드 악용한 피싱 등장…2채널 인증 무력화2014.05.29
- 윈도XP 취약점 노린 악성파일 유포2014.05.29
- 작년 스미싱·보이스피싱 피해액 750억2014.05.29
- 피싱-파밍 걱정없는 스마트폰 인증기술 개발2014.05.29
이를 통해 탐지 및 차단을 피하면서 계좌비밀번호, 보안카드 번호 등을 입력하도록 유도해 금융정보를 탈취한 것이다. 공인인증서 역시 특정 FTP서버로 전송해 외부로 유출시켰다. 또한 원격제어용 악성코드를 추가로 다운로드해 다음 공격에 악용할 수 있도록 했다.
최상명 하우리 차세대보안연구센터장은 최근 신종 파밍 악성코드가 계속 등장하며 점점 진화하고 있다며 감염되는 근본적인 원인 대부분이 취약점인 만큼 보안업데이트를 꾸준히 실시하고, 취약점 공격 차단 솔루션을 설치하는 등 대책이 필요하다고 말했다.
