국내 유명 인터넷 라이브 방송 사이트의 동영상 플레이어 설치파일과 파일공유 프로그램의 한 종류인 토렌트 설치파일 등의 변조를 통해 국내 인터넷 뱅킹용 악성파일이 유포되고 있다고 11일 잉카잉터넷과 하우리 등이 이용자들의 주의를 당부했다.
 
인터넷 뱅킹 및 소액결제 등을 사용하기 위해 필수적으로 본인확인을 위한 인증 시스템의 확인 절차를 거치게 된다.
 
이런 인증서나 사용자의 비밀번호 탈취는 곧바로 해커의 금전적인 이득으로 다가오기 때문에 하루에도 수 없이 발생하고 시도되고 있다.
 
하우리는 11일 “개인방송을 위한 웹사이트로서 동영상 프로그램 모듈에 악성코드가 포함되어 현재까지 악성코드가 배포되고 있다”고 밝히고 “변종이 다수 발견되어 하우리 전 제품에 업데이트 되었다”고 주의를 당부했다.
 
잉카인터넷 관계자도 “이번 발견된 악성파일은 국내 특정 인터넷 방송사이트의 변조된 동영상 재생용 프로그램을 설치 시 감염이 이루어지고 있으며, 정상파일과 함께 악성파일이 자신의 컴퓨터에 몰래 설치되고, 이러한 악성파일들에 노출될 경우 호스트파일을 변경하여 사용자가 특정 국내 인터넷 뱅킹 사이트에 접속 시 악의적인 웹 사이트로 접속하도록 만든다”고 경고했다.
 
다음은 하우리에서 해당 악성코드를 분석한 내용이다.  
◇CONFIG.INI  
파일은 악성 서버의 네트워크 주소로 설정되어있는 파일이다.
-IP : 124.xx.6.xxx  
◇HDSetup.exe
 
기존의 hosts 파일을 삭제하여, 악성 hosts 파일을 생성한다.
 
hosts 파일의 내용에 cmd 명령을 통하여, hosts 파일에 우리은행에 관련된 사이트 접속 시 특정 사이트에 우회접속 하도록 되어 있어 파일에 감염시 사용자들은 해당 사이트에 평상시처럼 정상사이트로 접속을 하겠지만 host변조로 인해서 정상사이트 대신 악성 사이트로 접속하게 된다.
 
네트워크 보안정책관련 레지스트리 값을 비활성화 시켜서 악성파일의 실행시 경고창이나 파일 실행에 문제가 없도록 보안레벨을 낮춘다.
 
별도의 설명이 없으면 각 DWORD 값은 0, 1 또는 3과 같다. 일반적으로 설정 0은 특정 작업을 허용하도록 설정한다.
 
해당 EXE파일에 대한 소프트웨어로 등록하여 레지스트리가 동작하도록 한다.
 
◇CretClient.exe
하우리 관계자는 “KB국민은행의 피싱사이트 형태의 인증서 탈취 기능의 파일이며, 정상 은행의 전자서명과 차이점을 발견하기 어려워 일반 사용자들은 사기피해를 당하기 쉽다”고 밝혔다.
 
해당 파일을 실행 시 국내 은행의 개인인증을 위한 인증서 화면과 연관성으로 인해 해당 프로그램이 KB국민은행의 프로그램으로 착각하도록 하여 인증서 및 비밀번호를 입력하도록 사용자에게 요구하고 있다.
  해당 악성코드는 인증서 유출을 위해 하기 인증서가 존재하는 위치를 파악하도록 제작되어 있다.
 
해당 인증서의 인증서를 확인하게 되면 다음과 같은 124.xx.6.xxx:19100의 네트워크 주소로 접속 하는 것을 확인할 수 있다. 이용자들의 주의가 필요하다.
 
잉카인터넷 관계자는 “현재 이 시간에도 모듈이 변조되어 유포되고 있기 때문에 해당 인터넷 방송 사이트를 사용하는 사용자들은 신뢰할 수 있는 보안업체의 백신을 사용하여 최신버전으로 업데이트하여 전체검사를 진행하는 등 각별한 주의가 필요하다”고 밝히고 “또한 국민은행의 경우 정상적인 실제 웹사이트는 https로 서비스되고 있으며 가짜 웹사이트는 http를 사용하고 있다는 점도 유념하길 바란다”고 조언했다.
 
표적이 되고 있는 국내 인터넷 뱅킹 사이트는 다음과 같다.
-국민은행 (kbstar.com. kbstar.com, obank.kbstar.com)
-농협NH (banking.nonghyup.com)
-우리은행 (www.wooribank.com, wooribank.com, pib.wooribank.com)
-외환은행 (bank.keb.co.kr, www.keb.co.kr)
 
데일리시큐 길민권 기자 mkgil@dailysecu.com