2024-03-28 20:00 (목)
제우스 악성코드, 금융정보 탈취 가능한가
상태바
제우스 악성코드, 금융정보 탈취 가능한가
  • 길민권
  • 승인 2011.06.25 15:55
이 기사를 공유합니다

지능적 공격으로 보안프로그램 우회해 정보 유출 가능
금융뿐 아니라 기업과 공공기관도 공격 타깃 될 수 있다
지난 5월, 미국, 유럽 금융권에 악명을 떨친 제우스(ZeuS) 악성코드 소스코드가 공개되었다. 영어로 작성된 스팸메일 등을 통해 유포되고 대부분 해외를 겨냥해 국내에는 아직 피해가 보고된 바는 없다. 하지만 공개된 소스코드를 통해 다양한 변종을 제작할 수 있는 가능성이 커지면서 국내 금융, 일반 기업 및 공공분야도 공격 대상이 될 수 있다고 전문가들은 우려하고 있다.
 
특히 최근에 국내 27개 금융기관 인터넷뱅킹 사용자를 타깃으로 한 악성코드가 발견됐다. 인증서 로그인 화면을 복제해 사용자가 입력한 인증서 비밀번호 절취가 가능하고 일부 국산 백신 프로그램도 마비시키는 기능이 있는 악성코드들이다.
 
◇제우스(ZeuS) 악성코드란=2007년 러시아에서 처음 개발된 것으로 추정되는 봇넷이다. 2009년 하반기부터 북미 지역 등에서 인증서를 훔치거나 자동결제시스템, 급여 시스템에 대한 비인증 온라인 거래를 하는 등의 범죄의 주범으로 대두됐고 SpyEye 개발자에게 인수됐다.
 
이 악성코드로 인한 피해도 크다. 2010년 2월, 미국의 한 프로모션 회사는 제우스 감염으로 온라인뱅킹 사기를 당해 16만4천달러(약 2억원)의 피해를 입고 파산위기에 몰렸다.
 
또 2010년 7월 하순, 제우스에 감염된 수십만 개의 PC 등에서 약 3,000개의 고객계좌 정보를 빼내가 약 90만 달러에 달하는 고객 예금이 출금된 바 있다.
 
2010년 9월 30일에는 제우스를 이용해 미국의 중소기업이나 지방자치단체 은행 계정에 접근해 수백만 달러를 훔친 국제 금융 해커 60여 명이 기소된 적도 있다.
 
◇제우스의 악의적 기능들=제우스 버전 2.0.8.9는 봇과 http 프로토콜을 이용하며 고유키로 데이터를 암호화한다. 감염된 컴퓨터에 모든 서비스를 이용한 백컨넥트를 유지하고 방화벽을 우회한다. 소켓 체크 기능을 이용해 빅팀 클라이언트와의 커넥션을 확인하고 TCP 프로토콜에 대한 스니핑 데이터를 모니터링하고 C&C 제어판에서 생성한 스크립트를 실행한다.
 
또 모든 객체에 대한 특이한 이름을 부여하고 타 사용자는 실행되지 않도록 하고 있으며 WinAPI를 이용해 봇을 숨기고 바이러스백신에 탐지되면 스스로를 파괴한다. FTP 클라이언트의 로그인 정보를 가져오고 어도비 플레시 플레이어 쿠키값을 획득, 모질라 파이어폭스의 Wininet.dll을 이용해 쿠키값을 가져오기도 한다. 또 윈도우의 인증서 저장소를 추적해 인증서를 획득하고 키보드 입력 값도 가로챈다.
 
뿐만 아니라 은행 계좌 잔액과 같은 웹 페이지의 콘텐츠 데이터를 가져오기도 하고 일시적으로 사이트 접속을 차단하기도 한다. 특정 URL에 대한 접속 차단을 실행할 수 있고 마우스 커서 위치 주변의 스크린샷을 가져간다. 또 세션 쿠키값과 차단된 사용자의 접속 URL로 훔쳐간다.
 
◇제우스가 한국 전자금융에 미치는 영향=이성욱 금융보안연구원 팀장은 “제우스가 전자금융에 미치는 위협 정도를 분석해 봤는데 키보드 보안 프로그램이 정상적으로 동작하고 있는 상태에서 유출된 제우스의 키로깅을 통한 키 입력 정보 획득은 불가능하며 제우스는 윈도우의 인증서 저장소를 추적해 인증서를 획득하는 방식을 취하기 때문에 파일로 존재하는 인증서를 가져가지 못하는 것으로 분석됐다”고 설명했다.
 
또 이 팀장은 “www.virustotal.com을 통해 분석한 결과 국내외 대부분의 백신 업체에 의해 제우스가 탐지되고 있고 bot.net도 대부분 탐지된다. 또 config.bin도 일부 탐지되는 것으로 나타났다”고 덧붙였다.
 
하지만 이 팀장은 제우스를 주의해야 한다고 강조했다. 제우스는 특정 URL 접속시 HTML Injection 공격으로 페이지를 위조한다. 공격자가 원하는 정보를 입력하도록 유도해 주요 정보를 획득할 수 있으며 키보드 보안이 적용되지 않는 입력필드를 생성해 정보를 빼내 갈 수도 있다.
 
또 키보드 보안 모듈 및 개인 방화벽 설치 URL 블락을 활용해 접속 URL을 차단하고 각종 보안 모듈이 설치되지 못하도록 해 공격을 가할 수도 있다. 더불어 파일전송 기능을 추가시 파일 형태로 저장된 인증서 유출 가능성도 있고 키보드 보안 프로그램을 우회하거나 무력화 기능도 있기 때문에 민감한 전자금융 정보 유출 가능성은 크다고 볼 수 있다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★