2024-04-27 12:15 (토)
인터넷뱅킹 사용자 겨냥 악성파일 변종 지속적 발견!
상태바
인터넷뱅킹 사용자 겨냥 악성파일 변종 지속적 발견!
  • 길민권
  • 승인 2012.10.03 13:43
이 기사를 공유합니다
악성파일 자체의 독립적 피싱 기능 이용한 기법 꾸준히 목격
인터넷뱅킹 사이트 디자인과 싱크로율 100% 화면 사용…주의!
국내 인터넷뱅킹 사용자를 겨냥한 악성파일 변종이 지속적으로 발견되고 있다. 최근에는 호스트(hosts)파일을 사용하지 않고, 악성파일 자체의 독립적인 피싱 기능을 이용한 기법도 꾸준히 목격되고 있어 사용자들의 각별한 주의가 요구된다.
 
잉카인터넷 대응팀은 “호스트 파일을 이용하는 경우는 인터넷뱅킹 웹 사이트 주소가 실제 주소와 동일하게 보이기 때문에 일반 사용자가 육안만으로 판별하기는 매우 어렵고, 호스트 파일을 이용하지 않는 경우는 유사한 가짜 도메인으로 연결시키기 때문에 인터넷뱅킹 주소를 꼼꼼하게 살펴볼 경우 충분히 가짜 사이트라는 점을 식별할 수 있다”며 “또한 악성파일을 이용한 경우 거의 모두가 ‘보안강화 서비스’ 또는 ‘보안승급 서비스’라는 명목으로 사용자의 과도한 금융정보 입력을 유도하고 탈취시도 한다는 점이 동일하다는 점을 명심한다면 유사한 전자금융사기 및 보안위협을 사전에 충분히 예방할 수 있다”고 강조했다.
 
최근들어 자주 발견되고 있는 악성파일 형태는 호스트(hosts)파일을 이용하지 않고, 사용자가 접속하는 인터넷 웹 사이트를 악성파일이 몰래 감시하고 있다가 국내 특정 인터넷뱅킹 사이트에 접속할 경우 교묘하게 만들어진 가짜 인터넷뱅킹 사이트로 바꿔치기 하는 수법을 사용하고 있다.
 
접속된 가짜 인터넷뱅킹 웹 사이트에는 별도의 팝업 창을 통해 사용자를 현혹시키고 허위 보안강화서비스를 신청하도록 유혹하고 있다. 사용자들의 각별한 주의가 요구된다.
 
이런 지능적 전자금융 사기단들은 사용자들을 속이기 위해 최근 인터넷뱅킹 웹 사이트 디자인과 싱크로율 100%인 화면을 사용한다. 아래는 최근에 발견된 인터넷뱅킹용 악성파일에 감염된 상태에서 은행 사이트 접속시 보여지는 가짜 웹 사이트 화면이다. 실제 국민은행 웹 사이트 화면 자체를 도용했기 때문에 [보안강화 서비스 신청하기] 부분을 제외한 모든 부분은 현재 국민은행 웹 사이트 화면과 100% 일치한다.

 
잉카인터넷 관계자는 “악성파일 변종들은 인터넷뱅킹 웹 사이트에 접속될 경우 피싱 웹 사이트로 접속되도록 만들어져 있다. 현재 다양한 악성파일이 발견되고 있고 도메인은 변종에 따라서 계속해서 새롭게 변경되고 있는 상황”이라며 “신규 도메인의 차단과 생성이 계속 이어지고 있으므로, 유사한 도메인을 목격할 경우 접속을 끊고 신뢰할 수 있는 인터넷 보안업체나 한국인터넷진흥원, 금융기관 등에 신고하는 노력도 중요하다”고 설명했다.  
-KISA 인터넷침해대응센터 피싱 사고신고: www.krcert.or.kr/kor/
 
악성파일에 감염된 상태에서 정상적인 인터넷뱅킹 웹 사이트에 접속시 가짜 웹 사이트로 변경되며, 실제 금융사에서는 제공하지 않는 보안강화 서비스 신청하기라는 피싱용 화면을 출력한다. 도메인을 보면 가짜 웹 사이트라는 것을 알 수 있다.
 
참고로 호스트(hosts)파일을 이용한 피싱의 경우는 가짜 웹 사이트 도메인이 실제 정상 도메인과 동일하게 보여지므로, 도메인 주소만 가지고 정상여부를 구분하는 것보다는 보안강화 서비스 또는 보안승급 서비스라는 내용이 나올 경우 100% 피싱용 웹 사이트라는 점으로 기억하는 것이 더욱 더 효과적이다.
 
실제로는 존재하지 않는 [보안강화 서비스 신청하기]라는 팝업창을 보여주고 사용자로 하여금 신청하기 클릭을 유도한다. 보안강화 서비스 신청하기 부분을 클릭하면 추가적인 보안강화서비스 화면을 보여주고, 이름(실명)과 주민등록번호 외에 추가 금융정보와 보안카드 전체 번호 등을 입력하도록 유도한다.
 
잉카인터넷 대응팀은 “국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다”며 “새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함해 배포되고 있으므로, 사용자들은 항상 최신 버전으로 업데이트하고 실시간 감시 등을 활성화해 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권
길민권 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트