국내 인터넷뱅킹 이용자들의 예금 불법 인출용 악성파일 변종이 국내 특정 토렌트 자료실 영화파일처럼 위장되어 유포 중인 6개의 게시글을 발견되었다.
 
잉카인터넷 관계자의 말에 따르면 “해당 게시글은 2012년 6월 18일 새벽 5시 20분 경부터 업로드되기 시작했으며 기존에 발견되었던 형태와 동일하게 윈도우 폴더에 CretClient.exe, HDSetup.exe 파일 등을 생성하고 CONFIG.INI 설정파일을 이용하여 원격지 서버 IP 로드와 호스트 내용 등을 변경한다”며 “그 이후에 국내 특정 인터넷 뱅킹 사이트로 접속시 조작된 가짜 웹 사이트를 보여주고, 개인금융 관련 고유정보를 입력하게 하여 개인정보 탈취 및 예금 불법 인출 목적 등으로 시도될 수 있으므로, 이용자들의 각별한 주의가 요구된다”고 밝혔다.
 
이번 악성파일 전파 기법에 대해 잉카인터넷은 다음과 같이 설명하고 있다. 지난 번에 발견된 바 있는 파일공유 사이트와 유사한 국내 특정 토렌트 관련 사이트에서 18일 새벽 5시 영화관련 내용으로 토렌트 파일처럼 위장하여 총 6건의 게시글이 등록된 것이 발견됐다.
 
각각의 게시글에는 .torrent 파일이 아닌 실행파일 형식인 .scr 파일이 등록되어 있다. 따라서 사용자가 이 부분을 꼼꼼히 살펴보지 않을 경우 악성파일을 다운로드하게 된다.
 
악성파일들은 모두 토렌트 아이콘으로 만들어져 있어, 사용자로 하여금 정상적인 토렌트 파일로 인식하도록 조작되어 있다.
 
다운로드한 파일을 사용자가 실행하게 되면 내부에 포함되어 있는 실제 토렌트 파일과 악성 숙주파일인 26.scr 파일이 생성되면서 실행된다. 사용자를 속이기 위해서 정상적인 Torrent 파일을 포함하고 있는 것이 특징이다.

 
그 다음에 26.scr 이름의 악성파일이 자동 실행되고, 사용자 몰래 윈도우 폴더 등에 HDSetup.exe, CretClient.exe, CONFIG.INI 파일 등이 생성된다. 이후 윈도우 폴더에 Main 악성파일 2개와 설정파일 등이 생성된다.
- HDSetup.exe
- CretClient.exe
- CONFIG.INI
 
이 파일들에 의해서 인터넷뱅킹 이용자들의 정보 탈취를 시도하게 되며, 기존에 발견되었던 것과 같이 CONFIG.INI 파일에 악성 서버의 호스트 주소가 설정되어 있다. 현재는 차단된 상태로 보여진다. 그외 악성파일의 기능은 이전에 공개된 내역과 동일하다.
-erteam.nprotect.com/293
 
잉카인터넷 대응팀 관계자는 “해당 인터넷 방송 사이트를 사용하는 사용자들은 nProtect Anti-Virus 최신 버전으로 업데이트해 전체 검사를 진행하는 것이 필요하며, 발견되는 악성파일은 반드시 치료해야 한다”며 “또한 국민은행의 경우 정상적인 실제 웹 사이트는 https로 서비스되고 있다는 점도 유념해야 한다. 가짜 웹 사이트는 http를 사용하고 있기 때문에 육안으로 구분이 가능하기도 하다”고 주의를 당부했다.
 
또 “이런 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 이용자 보안 관리 수칙을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다”고 덧붙였다.
 
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com