가짜 메시지 안내 창을 출력해 사용자들에게 즉시 인터넷뱅킹으로 접속하도록 유도하는 새로운 형태의 악성파일(KRBanker)이 발견되었다.
 
잉카인터넷(대표 주영흠 www.nprotect.com)은 ISARC 대응팀은 “2012년 6월 초부터 국내 전자금융사기용 악성파일의 변종이 꾸준히 발견되고 있는 가운데, 이번에 발견된 악성파일에 감염되면 사용자가 국내 인터넷뱅킹 사이트에 접속하고 있지 않아도 전자금융사기 예방서비스 시행안내 메시지 창을 출력해 인터넷뱅킹 사이트로 접속하도록 유도하고 있어 주의가 요구된다”고 당부했다.

 
이는 KRBanker 악성파일이 사용하는 피싱 도메인이 신속하게 차단되자, 공격자들은 악성파일에 감염된 사용자가 피싱사이트 차단조치 이전 시점에 즉시 피싱사이트로 접속하도록 미끼를 사용하는 방식으로 진화했다고 분석할 수 있다.
 
사용자 컴퓨터에 설치된 악성파일은 국내 주요 인터넷뱅킹 사용자들이 정상 사이트에 접속 시도 시 악의적인 사이트로 연결되도록 만들고, 가짜 공인인증서 입력 창을 출력하여 사용자의 금융 관련 정보를 고의적으로 입력하도록 유도하는 피싱(파밍) 기법을 사용한다.
 
이전에도 인터넷뱅킹 사용자들을 공격대상으로 한 악성파일은 호스트(hosts)파일 이용, C&C 서버를 통한 신규 피싱사이트로 자동업데이트 등의 변조를 통해 꾸준하게 등장하고 있었으나, 이번에 발견된 악성파일은 “전자금융사기 예방서비스 시행안내” 라는 가짜 메시지 창을 사용자 컴퓨터에 강제로 출력시켜 최근에 이런 보안위협이 증가하고 있다는 것을 역이용하고 사람의 심리를 교묘하게 이용하는 기법으로 불특정 다수의 이용자들에게 유포되며 아무런 경고도 없이 실행되어 그 피해가 더 심각할 것으로 예상된다.
 
문종현 잉카인터넷 ISARC 대응팀 팀장은 “악성파일(KRBanker)을 조직적으로 유포 시도하는 사이버 범죄자들은 짧은 시간에 많은 사용자들에게 악성파일을 설치하고 있다. 그들은 존재하지 않는 보안승급이나 보안강화라는 금융서비스로 위장해 과도한 개인 금융정보를 입력하게 유도해 탈취시도하고 있다”며 “최종적으로 이용자의 소중한 예금을 불법으로 편취해 나가는 것이 가장 주된 목적 중에 하나이다. 그 만큼 고도의 다중 공격수법을 활용하는 것이 일반적이고, 최신 보안 취약점과 불법적인 해킹 등을 결합하여 사용한다”고 밝혔다.
 
또 그는 “이미 널리 알려져 있는 대표적인 보안취약점을 모두 업데이트하고 항상 최신 버전의 백신을 설치하고 실시간 감시는 반드시 활성화해 사용하는 등 사용자 스스로의 능동적인 노력이 필요하다” 라고 강조했다.  
 
잉카인터넷 ISARC(INCA Internet Security Analysis Response Center)는 신규 보안취약점과 관련한 자료 수집 및 모니터링을 지속적으로 진행하고 있으며 새로운 악성파일이 발견되면 신속하게 업데이트 서비스를 제공하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com