국내 불특정 다수의 인터넷 이용자를 겨냥해 다양한 수법으로 금융정보 및 예금탈취 목적의 악성파일이 끊임없이 기승을 부리고 있는 상황이다.
 
잉카인터넷 관계자는 “금융정보 타깃 악성파일 유포 주의 경보를 발령하고 이상징후에 대한 예의주시 및 휴일포함 상시 집중관제와 긴급대응을 진행 중에 있다”고 밝혔다.
 
또 “현재 악성파일은 변종이 지속적으로 유포되고 있는 상황이며 감염될 경우 국내 인터넷 뱅킹 사이트 접속시 교묘하게 제작된 허위 사이트로 접속되고 실제로는 존재하지 않는 보안승급서비스를 보여준다”며 “공인인증서(NPKI)유출과 금융 개인정보 입력을 유도해 국내 시중은행 사용자들의 계좌정보 탈취를 시도하고 있다. 이렇게 유출된 개인금융 정보는 악의적 해커들에 의해서 불법적 금융계좌 접근으로 시도되고 경우에 따라서 예금인출 피해로 확대 될 수 있다”고 경고했다.
 
이번 금융보안 위협은 2012년 6월 초에 처음 공식 보고된 이후 2달 넘게 끊임없이 변종이 제작,유포되고 있어 각별한 주의가 필요하다. 특히 지난 주말 수십여 개 이상의 웹 사이트가 해킹되어 보안취약점 등을 통해서 집중 유포되었다는 점에서 다수의 감염피해가 발생하고 있을 것으로 예상되고 있다.
 
잉카인터넷 관계자는 “국내 인터넷뱅킹 이용자들은 유사한 악성파일에 감염되지 않도록 꾸준한 사전 예방활동이 필요하고, 예기치 못한 피해를 입지 않도록 적절한 보안안전수칙을 준수해 중요 금융자산이 불법 인출되는 사고로 이어지지 않도록 각별한 주의가 필요하다”고 강조했다.
 
악의적 공격자들은 좀더 다양하고 많은 사용자들에게 악성파일을 감염시키기 위해서 다각적인 수법을 이용하고 있다.
 
대표적으로 웹하드나 토렌트와 같은 파일공유 사이트의 정상프로그램이나 동영상 재생용 프로그램 등을 불법적으로 해킹하고 위변조해서 악성파일을 몰래 추가시키거나 웹 사이트의 보안취약점을 이용해 해킹된 사이트에 보안이 취약한 사용자가 접속시 자동으로 악성파일이 설치되도록 하는 수법을 주로 사용하고 있다.  
 
잉카인터넷 대응팀은 지난 8월 18일 토요일 새벽, 주말이 시작되는 시점부터 국내 수십여개 이상 웹 사이트가 해킹되어 변형된 악성파일이 전파시도 중인 정황을 포착해 휴일 긴급대응이 진행된 바 있다.
 
지난 주말 기간 불특정 다수의 국내 웹 사이트가 해킹되어 악의적인 스크립트 코드가 포함되었고 보안이 취약한 사용자가 접속할 경우 악성파일에 자동으로 감염되고 대부분의 이용자들은 자신이 감염된 사실 자체를 인지하기 어려운 상황이다.
 
특히 여행사, 언론사, 교회, 카메라 판매사이트, 고등학교 총동문회 등등 국내 다수의 웹 사이트를 통해서 악성파일이 전파 중이며 공격자는 지속적으로 유포범위를 확대시키고 있는 상태이다.
 
◇실제 악성파일 유포 사례=대표적인 방법으로 실제 유포 중인 사례를 한 곳 살펴보면, 접속시 악성파일이 설치되는 곳으로 국내 모 고등학교 총동문회 사이트다.
 
특정 주소에는 불법적으로 해킹되어 아이프레임(iframe src) 명령어가 포함된 것을 확인할 수 있고, 해당 사이트를 통해서 또 다른 중개지로 연결된다.
 
아이프레임으로 연결된 웹 사이트에는 플래시 플레이어 프로그램과 자바 취약점 등을 이용하는 난독화된 익스플로잇 코드 파일을 포함하고 있으며, 사용자가 보안취약점을 가지고 있는 경우 악성파일에 자동으로 감염된다.
 
암호화로 난독화된 JSXX 0.44 VIP Exploit 스크립트 기법은 중국에서 제작된 것으로 Dadong이라고도 알려져 있는데 이것은 중국어로 공격을 의미하는 Gondad를 거꾸로 표기한 것이다.
 
악성 스크립트가 정상적으로 작동되고 보안취약점이 실행되면 특정 사이트에 등록되어 있는 악성파일이 다운로드되고 실행된다. 그 다음에 윈도우 임시폴더(Temp) 경로에 악성파일을 생성한다.
 
더불어 호스트(hosts) 파일을 수정해 국내 인터넷뱅킹 사이트 접속시 피싱용 사이트로 접속되도록 IP주소를 변경한다. 현재 IP주소는 계속해서 변경된 변종이 제작되어 유포 중에 있다.
 
악성파일에 감염되어 호스트파일(hosts)이 변경된 상태에서 정상적인 인터넷뱅킹 웹 사이트 주소(도메인)로 접속을 해도 브라우저는 가짜 웹 사이트 IP주소로 접속을 하게 된다. 그렇지만 사용자에게 보여지는 도메인주소는 정상적인 웹 사이트 주소와 동일하기 때문에 육안상으로 쉽게 악성여부를 판별하기는 거의 불가능에 가깝다.
 
실제 악성파일에 감염된 상태에서 인터넷뱅킹 사이트에 접속시 피싱사이트 서버가 존재하는 미국의 호스트로 접속된다.
 
대부분의 가짜 웹 사이트에서는 실제 존재하지 않는 [보안승급서비스]라며 사용자 정보 입력을 유도한다
 
정상적인 인터넷 뱅킹 사이트에서는 어떤 이유로든 사용자의 중요 개인정보를 모두 입력하도록 유도하지 않으므로 이점을 유념하는 것이 중요하다. 특히 보안승급서비스라는 것은 모두 가짜라는 점을 잊지 말아야 한다.
 
또한 악성파일에 감염된 경우 사용자의 공인인증서(NPKI)파일이 외부로 유출될 수 있다. 악성파일은 사용자의 공인인증서가 컴퓨터에 보관되어 있을 경우 외부로 유출을 시도한다.
 
잉카인터넷 대응팀은 “국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다”며 “또한 국내 웹사이트 100여 개 이상을 해킹해 유포한 정황과 이력을 확보해 종합적으로 분석하고 공격 수법을 역으로 모니터링하고 있는 상태”라고 밝혔다.
 
더불어 “사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화해 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다”며 “또한 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com