액티브X를 사용하지 않고 인터넷 뱅킹에 필요한 보안프로그램을 설치할 수 있게 하는 마이크로소프트(MS) 닷넷 프레임워크 '클릭원스' 배포 방식을 악용하는 금융악성코드가 발견돼 주의가 필요하다.
공격자들은 인터넷 뱅킹 사용자들이 액티브X를 통해 유포되는 파일에 대한 악성여부를 꼼꼼히 확인하기 시작하자 새로운 유포방식을 마련한 것으로 추정된다.
하우리(대표 김희천)은 가짜 인터넷 뱅킹 사이트가 닷넷 기반 클릭원스 배포 방식을 악용해 악성코드를 유포하고 있다고 24일 밝혔다.
해당 악성코드는 파밍 등을 통한 가짜 인터넷 뱅킹 사이트에서 인터넷 뱅킹용 비밀번호 암복호화 설정을 위한 보안 프로그램을 위장해 배포됐다.
하우리에 따르면 이 악성코드에 감염될 경우 특정 서버에 접속해 추가적인 악성코드를 다운로드하며 PC 내 공인인증서를 압축해 외부 서버로 전송하는 기능을 가졌다.
클릭원스 배포 방식이란 웹으로부터 응용프로그램을 쉽게 설치 및 업데이트가 가능하도록 해주는 기술로 닷넷 프레임워크 2.0 버전부터 도입됐다. 쉽게 말해 윈도 환경에서 액티브X 대신 추가적인 프로그램을 설치할 수 있는 방법을 악용한 것이다.
따라서 닷넷 프레임워크가 설치되지 않은 환경에서는 클릭원스 배포 방식으로 악성코드를 설치할 수가 없다.
관련기사
- 北위성 발사대 관련 메일 열면 악성코드 감염2014.06.24
- 한국 인터넷 뱅킹 노린 악성코드, 일본서도 확산2014.06.24
- 보안 솔루션 VPN, 파밍 공격에 악용2014.06.24
- 윈도XP 취약점 노린 악성파일 유포2014.06.24
문제는 최근 들어 여러 프로그램들이 닷넷 프레임워크를 필요로 하고 있기 때문에 해당 프로그램을 설치한 사용자들이 많아 피해가 우려된다는 점이다.
최상명 하우리 차세대보안연구센터장은 클릭원스를 이용한 프로그램 설치 시 게시자를 확인해 '알 수 없는 게시자'일 경우 설치에 주의해야 한다고 밝혔다.
