2020-05-26 09:15 (화)
금융정보 노린 악성코드, 국내 다수 사이트서 유포中!
상태바
금융정보 노린 악성코드, 국내 다수 사이트서 유포中!
  • 길민권
  • 승인 2012.09.03 00:45
이 기사를 공유합니다

다수 사이트 해킹돼 악성코드 유포 중계지로 악용
해당 악성코드, 국내 유명 무료백신 업데이트 방해공작도 수행
지난 8월 31일 국내 인터넷뱅킹 사용자들을 노린 또 다른 악성파일이 국내 다수의 웹 사이트가 해킹되어 중개지로 악용된 채 유포 중인 정황이 포착됐다.
 
이번에 새롭게 유포 중인 악성파일은 중국에서 개발되어 최근 다양한 악성파일 유포에 널리 사용되고 있는 "JSXX 0.44 VIP" 자바스크립트 난독화 Exploit 코드와 접목을 시작했으며, JAVA 취약점과 Flash 취약점 등을 꾸준히 이용하고 있는 상태이다.
 
잉카인터넷 관계자는 “이번에는 인터넷뱅킹용 악성파일을 배포하기 이전 시점에 사전침투용 악성파일을 지능적으로 먼저 투입시켜 국내에 사용자가 가장 많은 알약(ALYac)과 V3라이트 무료 백신제품들의 정상적인 업데이트 방해 등을 우선 시도한다”며 “이는 본격적인 인터넷뱅킹용 악성파일을 유포하기 이전에 악성파일 자신의 보호와 사전 정보수집, 사이버범죄 활동에 필요한 교두보 확보를 위한 치밀한 계획으로 볼 수 있다”고 설명했다.
 
또 이 회사 관계자는 “이처럼 국내 전자금융거래에 대한 보안위협이 심각한 상태로 부상하고 있다는 것을 명심해야 한다. 그리고 국내 인터넷뱅킹 사용자들은 보안의 중요성을 인식해 전자금융거래용 악성파일에 대한 대비가 철저하게 요구된다”며 “잉카인터넷 대응팀은 해당 내용을 정부 유관기관에 유포지 및 경유지 목록 등을 제공해 국내에서의 접속차단 협조를 요청한 상태”라고 밝혔다.
 
더불어 “현재 악성파일 유포에 남용되는 보안취약점은 대표적으로 JAVA와 Flash Player이므로, 이들 프로그램에 대한 최신버전으로 업데이트를 하면 충분한 사전예방 효과가 있다”며 “물론 새로운 제로데이 취약점이 지속적으로 보고되고 있으므로 정기적으로 최신버전을 설치하는 습관이 중요하다”고 강조했다.
 
현재 잉카인터넷 대응팀은 국내 인터넷뱅킹용 악성파일(KRBanker 류) 전파에 대한 집중 모니터링을 유지하고 있으며, 해당 사이버 범죄자들의 활동반경을 지속적으로 추적하고 있다. 이를 통해서 새로운 악성파일 유포를 시작하는 즉시 긴급대응을 상시체계로 진행하고 있으며 각 금융고객사에 제공되는 nProtect 금융보안 솔루션에 즉각적인 업데이트를 제공하고 있다.
 
대응팀 관계자는 “신문기사를 제공하는 국내 특정 인터넷 언론사이트가 현재 해킹되어 방치된 상태로, 인터넷뱅킹용 악성파일이 전파 중인 상황이다. 물론 그외에도 교회, 학교, 기업, 개인커뮤니티 등 다수의 사이트가 동시다발적으로 새롭게 해킹되고 있는 심각한 상황임을 감안하면 앞으로도 꾸준한 보안위협이 진행될 것으로 예상된다”고 주의를 당부했다.
 
◇악성코드 분석 내용=잉카인터넷 대응팀에서 분석한 이번 악성파일은 특정 보안취약점이 존재하는 불특정 다수를 대상으로 전파를 시도하며 국내의 특정 웹 사이트들이 다수 불법 해킹되어 아이프레임(iframe src) 코드가 삽입되고 있는 상황이다.
 
해당 사이트의 중간부분에 불법적으로 아이프레임 코드가 삽입되어 또 다른 악성파일 중개지로 연결되는 것을 확인할 수 있다.
 
강제로 연결되는 사이트는 호스트 위치가 중국 베이징이며, JSXX 0.44 VIP라는 일종의 자바스크립트 암호화(Encrypt) 도구를 이용해서 난독화되어 있다. 보통 악성파일 유포자들은 보안제품들의 유사변종 탐지우회와 분석가들의 신속한 분석방해 등을 목적으로 악성 자바스크립트 코드를 암호화해 유포하고 있다.
 
해당 스크립트는 또 다시 플래시와 자바 취약점을 연결해 공격을 진행하며 1차 침투목적의 서버파일인 "shuli.exe"을 사용자 몰래 은밀하게 설치시킨다. 악성파일은 마이크로소프트사의 Console IME(conime.exe) 파일처럼 아이콘과 등록 정보 등을 위장하고 있다.
 
악성파일은 내부적으로 중국어로 제작되어 있으며 국내에서 사용자가 많은 대표 무료백신인 이스트소프트의 알약(ALYac)과 안랩의 V3라이트 제품의 업데이트 방지 기능 등을 수행해, 이후 유포되는 인터넷뱅킹용 악성파일 대응을 무력화하는데 초점을 두고 있어, 차후 유사변종 유입에 대한 철저한 대비가 필요할 것으로 예상된다.
 
악성파일은 1차 악성파일의 기능을 수행한 후 조건에 따라 본격적인 인터넷뱅킹용 악성파일을 설치하게 된다. 또한 공격자는 실시간으로 악성파일 감염자수를 조회하면서 지능적인 범죄활동을 수행한다.
 
◇악성코드 유포자 추적상황=잉카인터넷 대응팀은 악성파일 제작자들의 서버를 역으로 추적해 지난 8월 31일 오전 11시 20분경 기준 189명이 악성파일에 노출되었다는 것을 확인했다고 밝혔다.
 
시간에 비례해 감염자는 꾸준하게 증가하고 있으며, 11시 30분 경 600 여명이 유포 사이트로 접근되었고, 208명으로 감염자가 증가했다. 공격자는 이것을 통해서 실시간으로 악성파일이 얼마나 효과적으로 전파 중인지 파악할 수 있고, 차단이 될 경우 즉시 새로운 서버를 가동할 수 있는 모니터링 환경을 구축하고 있는 것으로 드러났다.
 
8월 31일 오후 12시 40분 경에는 약 800 여명이 악성파일 유포지로 접근한 상태로 조사됐다.
 
이 회사 관계자는 “악성파일도 시간차에 따라 계속해서 변종이 제작 유포 중에 있으므로, 운영체제 최신 보안업데이트는 물론 JAVA, Flash Player 버전을 최신으로 업데이트하는 것이 필수”라고 강조했다.
 
인터넷뱅킹용 악성파일이 추가로 설치되면 임시폴더(Temp) 경로에 "ncsoft.exe", "adobe_update.exe", "NEWCONFIG.INI" 파일 등이 설치되고 인터넷뱅킹용 공인인증서(NPKI) 탈취 등의 기능을 수행한다.
 
다음으로 호스트(hosts) 파일을 변경해 정상적인 인터넷뱅킹 사이트로 접속시 가짜 사이트로 접속을 바꿔치기 한다.
 
가짜 금융사이트에서는 보안강화 승급서비스 명목으로 과도한 금융정보 입력을 요구하고, 탈취를 시도하게 된다. 따라서 보안승급이나 보안강화 서비스라는 것을 보게 될 경우 절대로 금융정보를 입력하지 않도록 하는 것이 중요하다.
 
잉카인터넷 대응팀은 “국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다”고 밝히고 “사용자들은 항상 최신 버전으로 업데이트하고 실시간 감시 등을 활성화해 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com