국내 시중은행의 전자금융정보를 집중적으로 공략하고 있는 사이버범죄 조직에 대한 추적이 국내보안업체에서 이루어지고 있다. 금융전문 사이버범죄 조직들은 유출된 개인정보를 남용해 불특정다수의 스마트폰 이용자들에게 SMS 금융피싱 문구를 끈질기게 무단 배포하고 있으며 악성파일과 호스트파일 변조기법을 통한 피싱, 파밍공격도 동시다발적으로 확대하고 있어 주의해야 한다.
 
잉카인터넷 대응팀은 “최근 수개월 사이에 전자금융 사기형태의 보안위협이 눈에 띄게 급증하고 있다는 점과 나날이 정교화, 다양화되고 있다는 점도 반드시 유념해야 한다”며 “이용자들은 이미 알려져 있는 주요 보안취약점을 제거하는 등 개인보안을 강도 높게 유지하고 철저히 대비해야만 자신의 금융계좌에 안전하게 보관되어 있는 소중한 예금이 악의적 사이버범죄 조직들에 의해서 불법적으로 무단 인출되는 피해를 미연에 예방할 수 있다”고 강조했다.  
 
또 “전자금융 서비스가 새로운 보안위기에 직면하고 있지만, 사이버범죄 조직들이 상습적으로 사칭해 악용하고 있는 "보안승급(강화)서비스"는 모두 거짓이라는 것을 충분히 인지하고 있는 것이 무엇보다 중요하다”며 “국내 금융사에서는 평상시와 다르게 과도하게 금융정보 입력을 요구하지 않는다는 점도 반드시 명심해야 한다”고 덧붙였다.

 
◇불법적 웹 해킹과 악성파일 유포는 기본
그동안 해외 인터넷뱅킹 사용자들을 표적으로 한 악성파일들은 꽤 오래 전부터 문제를 일으키고 있었지만, 국내 인터넷뱅킹 사용자들을 집중적으로 노린 악성파일 형태는 그리 오래되지 않았다.
 
앞서 지난해 5월 경 잉카인터넷이 그 실체를 첫 공식보고한 이후 약 1년이 지난 올해 5월 경부터 호스트파일(hosts) 변조를 이용한 인터넷뱅킹용 악성파일 형태가 급격히 증가하고 있는 상황이다.
 
개인 금융정보 탈취를 목적으로 한 사이버범죄 조직은 정상적으로 운용중인 국내 웹 사이트를 무단 해킹해 실제 배포 중인 정상적인 미디어 재생프로그램 설치본에 악성파일을 교묘하게 포함시키거나 파일공유서비스 중에 하나인 웹하드 전용프로그램에 악성파일을 삽입해 배포하는 등 지능적인 해킹수법과 결합해 악성파일을 유포시키고 있다.
 
그외에도 다수의 국내 웹 사이트를 변조해 악의적인 스크립트를 삽입하고 보안이 취약한 이용자들이 웹 사이트에 접근만해도 자동으로 악성파일에 노출되도록 만드는 수법을 통해서 다수의 이용자들을 공격하고 있는 심각한 상황이 거의 매일 이어지고 있다.
 
지난 9월 3일에는 공격자가 악성 스크립트를 Mass Web Injection Attack 과정에서 공격명령을 잘못 입력해 실제 정상적인 공격으로 연결되지 못하는 사례도 발견된 바 있다. "iframe src=http" 명령어 형태로 삽입되지 않아 코드명령이 정상적으로 처리되지 않은 것이다.
 
잉카인터넷 관계자는 “악성파일 제작자가 한글 Windows 운영체제를 자유자재로 사용하고 있다는 정황도 다수 포착되고 있다. 그동안 악성파일을 제작할 때 사용하는 프로그래밍 언어로는 한국어, 중국어 등이 복합적으로 쓰이고 있으며 9월 3일에 발견된 관련 파일의 내부코드에서는 한글 경로가 포함된 문구가 발견되기도 했다”고 설명했다.
 
더불어 한국내 금융보안 솔루션 모듈처럼 위장하거나 카스퍼스키 보안기업의 허위 디지털 서명을 포함했던 경우도 존재한다.
 
◇호스트파일 변조를 통한 피싱(파밍)사이트로 바꿔치기
인터넷뱅킹용 악성 파일류를 조직적으로 배포하고 유포하는 범죄자들은 대체로 윈도우 운영체제에서 사용하는 호스트파일(hosts)을 변조해 국내 대표 금융사이트 도메인을 피싱사이트 IP주소로 연결되도록 변경하는 수법을 사용하고 있다.
 
피싱 IP주소는 유관기관에서 지속적으로 차단조치하고 있지만, 공격자들도 계속해서 새로운 IP주소를 만들어 사용하고 있는 상황이다. 인터넷뱅킹 이용자가 악성파일에 의해서 호스트파일이 악의적인 IP주소로 강제 연결될 경우 정교하게 조작된 가짜 인터넷뱅킹 사이트로 접속하게 되며, 사전에 치밀하게 준비된 금융정보 입력 요구화면을 접하게 된다. 그러나 자세히 보면 일부 오타가 존재하는 등 허술한 모습도 존재한다.
 
◇보안승급(강화)서비스=전자금융사기, 인지해야
전자금융사기를 진행하기 위해서 사이버범죄 조직들은 정상적인 인터넷뱅킹 사이트를 정교하게 모방해 피싱사이트를 만든 후 인터넷뱅킹 보안서비스라는 명목으로 사용자들을 현혹한다.
 
실제 정상적인 인터넷뱅킹 사이트에서는 보안프로그램 배포 등의 서비스를 진행하고 있지만, 보안강화서비스 또는 보안승급서비스라는 이름으로 사용자의 개인정보를 입력하도록 요구하지는 않는다. 따라서 인터넷뱅킹 이용자들은 허위 서비스에 현혹되지 않도록 하는 것이 무엇보다 중요하고, 유사한 보안위협에 노출되지 않도록 주의해야 한다.
 
특히, 주민번호 외에 인터넷뱅킹에 필요한 거의 모든 정보를 과도하게 요구해 탈취를 시도하기 때문에 각별한 주의가 필요하고 보안카드의 모든 번호는 절대로 입력하거나 외부에 노출시켜서는 안된다.
 
잉카인터넷 대응팀 관계자는 “인터넷뱅킹 이용자를 노린 새로운 악성파일이 거의 매일 새롭게 출현하고 있는 심각한 상황”이라며 “자신도 모르게 악성파일에 노출될 수 있다는 점과 전자금융의 보안위협이 급격히 증가하고 있다는 점에서 보안유의 사항들을 숙지하고 예금인출 피해를 예방하도록 해야 한다”고 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com