안랩 "신종파밍, 특정 금융사 노린 원스톱 공격"

안랩(대표 김홍선)은 경찰청이 발표한 인터넷뱅킹 계정탈취용 신종 악성코드를 분석한 결과 특정 금융기관에 적용 중인 보안 제품을 노려 원스톱으로 이뤄지는 공격이라고 3일 밝혔다.

이날 발견된 악성코드는 금융기관에서 사용하는 보안모듈의 메모리 해킹을 시도한다. 이를 통해 금융기관 인터넷뱅킹용 아이디/비밀번호, 공인인증서 비밀번호, 보안카드 번호 등 실제 개인의 금융정보를 탈취해 금전을 빼간다.

악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹한다. 이를 통해 정상 작동 과정에서 정보를 유출시킨다. 금융기관과 인터넷뱅킹 사용자들이 쉽게 피해를 파악하기 어려운 것도 이 때문이다.

안랩에 따르면 목표로 삼은 은행 등 해당 금융기관에 특화된 악성코드는 최초 시도로 사전 공격없이 자금을 인출하는데 성공했다.

목표 금융기관에 적용된 키로거 방지프로그램, 공인인증서 관련 보안 모듈 등 보안 제품과 인터넷뱅킹용 보안카드를 실시간으로 동시에 해킹하는 방식이다. 기존 파밍수법은 가짜 은행사이트로 접속을 유도해 보안카드 전체 번호를 빼내는 등의 수법으로 개인정보를 갖고 있는 상태에서 공인인증서를 재발급 받아 자금을 빼내갔다.

그러나 최근 등장한 수법은 이 모든 과정이 짧은 시간에 한번에 이뤄진다는 점에서 차이가 있다. 안랩은 분석결과 메모리 해킹 악성코드가 세 가지면에서 상당히 심각한 문제를 초래할 수 있다고 내다봤다. 먼저 보안모듈 메모리 해킹 방식에 대한 것이다. 해당 악성코드는 은행 사이트를 이용 시 자동으로 구동되는 보안모듈인 키보드 보안 솔루션, 공인인증서 관련 보안모듈의 메모리를 해킹해 이를 무력화 시킨다. 더구나 특정 은행 등 일부 금융기관만 노렸다. 이들은 공인인증서 파일이나 보안카드 번호를 사전에 탈취하는 방법을 쓴 것이 아니라 실시간으로 계좌이체하는 순간을 노렸다는 점에서 피해가 클 것으로 우려된다.

더구나 가짜 은행 사이트가 아니라 실제 은행 사이트에 접속했는데도 피해를 입을 수 있으나 정상 모듈이 구동되는 상태에서 이뤄지는 공격시도라 금융기관 서버에서 감지하기가 어려운 문제가 있다.

사용자 입장에서도 보안카드 번호를 입력하면 계속 에러가 난다는 점 외에는 별다른 이상징후를 파악하기 어렵다는 점도 문제다. 사전에 은행 거래 내역에 대한 문자메시지 전송 서비스 등을 신청하지 않은 상태에서는 뒤늦게 피해사실을 알게 될 가능성이 높은 것이다.

공격과정은 사용자가 보안이 취약함 웹사이트에 방문시 악성코드에 감염된다. 그 뒤 특정 금융 사이트에 방문하면 악성코드가 이 사실을 감지한다. 이 사이트 접속시 구동되는 보안모듈의 메모리 해킹공격을 통해 키보드 보안 솔루션, 공인인증서 등 금융 사이트 접속시 구동되는 솔루션을 무력화 시킨다.

그 뒤 금융기관의 아이디와 비밀번호, 보안카드 번호, 공인인증서 비밀번호 등을 탈취한다. 최종적으로는 일정 시간이 지난후 공격자가 탈취한 금융정보를 통해 금전 인출을 시도한다.

현재는 이와 관련 2가지 형태의 악성코드가 유포됐다. 타입A 유형은 금융 사이트 접속시 사용자 PC에 설치되는 보안모듈에 대한 메모리 해킹 기능을 가졌다. 이를 통해 '보안강화설정'이라는 새로운 팝업창을 띄우고 1번부터 35번까지 모든 보안 카드 번호를 입력할 때까지 에러메시지를 띄운다.

타입B는 보안모듈의 메모리를 해킹한다는 점은 동일하나 보안카드 입력시 이를 직접 가로채는 방식을 사용햇다.

이와 관련 양하영 안랩 선임 연구원은 분석결과 현재 확인한 악성코드 형태 외에 200여개의 변종

이 있을 것으로 추정하고 있다며 앞으로도 변종 악성코드 분석을 통해 지속적으로 대응해 나갈