8월 9일 현재 새로운 악성파일 변종이 유포시도 중인 정황을 포착됐다. 이번에는 기존 은행권외에 기업은행, 우체국, 새마을금고, 하나은행 등이 신규로 공격 사이트로 추가되었다.
 
또한 공격자는 유포파일명을 CretClient.exe에서 adobe_update.exe으로 변경했고 HDSetup.exe에서 ncsoft.exe 이름으로 변경했다. 기존에 공식적으로 공개하지는 않았지만 악성파일 제작자는 국내 특정 금융권 보안프로그램처럼 아이콘을 위장한 변종을 제작한 적이 있었고 국내 게임사 또는 카스퍼스키 보안업체 등과 관련된 내용으로 위장을 꾸준히 사용하고 있는 실정이다.
 
잉카인터넷 대응팀 관계자는 “간혹 원격제어 기능 등을 사용할 수 있는 Backdoor 형태의 악성파일을 배포하기도 했다”며 “새로운 국내 은행권이 표적에 추가됨에 따라 각 금융권 고객사에 해당 사실을 알림과 동시에 nProtect Anti-Virus 제품군에 긴급 업데이트를 완료했다”고 밝혔다.
 
◇악성파일 전파 수법
최근 수개월 사이에 국내 인터넷뱅킹 사용자를 표적으로 하는 악성파일이 100여개 이상의 국내 웹 사이트를 불법적으로 해킹하고 다수의 보안취약점을 통해서 불특정다수의 접속자에게 은밀히 유포되고 있는 것을 종합적으로 확인한 상태이다. 또한 정상적인 웹하드나 동영상 관련 설치프로그램을 변조하여 악성파일과 정상파일이 동시에 설치하는 수법도 복합적으로 사용하고 있는 실정이다.
 
[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
-erteam.nprotect.com/313
 
[긴급]국내 인터넷 뱅킹 표적용 악성파일, 진화된 디지털 인해전술?
-erteam.nprotect.com/312
 
[긴급]국내 시중은행 표적용 악성파일 지능화, 보안취약점과 결합
-erteam.nprotect.com/311
 
[긴급]국내 인터넷 뱅킹 표적용 악성파일 변종 지속 출현
-erteam.nprotect.com/299
 
[긴급]국내 인터넷뱅킹 사용자를 노린 악성파일 급속 유포
-erteam.nprotect.com/293
 
◇악성파일 변화 시도
기존까지 발견된 악성파일은 CretClient.exe, HDSetup.exe 파일명을 이용했지만, 이번에 새롭게 발견된 것은 마치 어도브 업데이트 파일(adobe_update.exe)과 국내 특정 게임사 파일(ncsoft.exe)내용으로 위장하고 있다.
 
또한 CONFIG.INI 파일명은 NEWCONFIG.INI 로 변경되었고, 설치경로도 윈도우폴더 하위의 임시폴더(Temp)로 바뀌었다.
 
"adobe_update.exe" 파일명은 원본이름이 "CretClient.exe" 라는 것을 등록정보를 통해서 확인할 수 있다.
 
NEWCONFIG.INI 파일은 기존과 동일하게 가짜 금융사이트로 조작된 피싱사이트 IP주소 값을 포함하고 있다.
 
악성파일은 호스트(hosts)파일을 변경하여 국내 특정 인터넷뱅킹 사이트의 접속을 피싱사이트로 연결되도록 교체시킨다.
 
이번에 변경된 호스트파일에는 국민은행, 농협, 신한은행, 우리은행, 외환은행외에 기업은행, 우체국, 새마을금고, 하나은행 등이 추가된 것이 특징이고, 잉카인터넷 등 국내 보안업체에 대한 목록은 제거되었다.
 
www.kbstar.com - 국민은행
banking.nonghyup.com - 농협
banking.shinhan.com - 신한은행
www.wooribank.com - 우리은행
www.ibk.co.kr - 기업은행 (추가)
mybank.ibk.co.kr - 기업은행 (추가)
www.epostbank.go.kr - 우체국 (추가)
ibs.kfcc.co.kr - 새마을금고 (추가)
www.hanabank.com - 하나은행 (추가)
bank.keb.co.kr - 외환은행
 
잉카인터넷 대응팀 관계자는 "국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다"며 "또한 국내 웹사이트 100여개 이상을 해킹하여 유포한 정황과 이력을 확보하여 종합적으로 분석하고 공격 수법을 역으로 모니터링하고 있는 상태"라고 밝혔다.
 
또 "새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다"며 "웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다"고 강조했다.
 
위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.
 
<보안 관리 수칙>
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.
2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.
3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.
4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.
 
nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.
-AVS 3.0 무료 설치: avs.nprotect.com/
 
데일리시큐 길민권 기자 mkgil@dailysecu.com