평소 자신이 믿고 접속했던 인터넷 뱅킹 사이트가 사이버 범죄자들이 만든 피싱 사이트로 교체되고, 신뢰한 후 스스로 입력했던 금융정보가 모두 외부로 무단 유출되었다면 그 만큼 아찔한 순간은 없을 것이다. 최근 전자금융사기 범죄자들은 이러한 분위기를 역이용해서 마치 금융보안 서비스처럼 교묘하게 모방하고 사칭한 사기수법을 총 동원하고 있다.
 
잉카인터넷 관계자는 “이번에 새롭게 발견된 방법은 금융 보안위협이 증가하자 마치 금융권에서 제공하는 공식적인 보안서비스처럼 위장하고 있다”며 “그중 최근 발견된 특징적 수법으로 금융자산예방서비스라는 조작된 메시지창을 출력하고 사용자들을 현혹시켜 금융정보를 피싱사이트에 입력하도록 유인하고 있다”고 주의를 당부했다.
 
◇보안카드 암호 전체 입력을 요구할 경우 100% 사기
이번에 발견된 악성파일은 국내 유머관련 특정 웹 사이트가 해킹되어 보안취약점을 이용했고, 접속하는 불특정 다수의 사용자에게 악성파일(KRBanker)을 무차별적으로 감염시켰다. 악성파일은 마치 안랩 V3 제품의 아이콘처럼 위장하고 있으며, 파일의 등록 정보(속성)에는 이스트소프트사의 알툴즈 업데이터 프로그램처럼 위장하고 있다.
 
또한, 프로그램은 중국어로 개발된 것을 확인할 수 있다. 악성파일이 작동되면 이용자의 호스트파일(hosts)을 변조시켜, 정상적인 금융권 웹 사이트에 접속하더라도 피싱 IP 주소로 연결되도록 만든다.
 
악성파일에 감염되었을 때 보여지는 피싱사이트 화면은 전국은행연합회 사이트에서 팝업으로 공지(www.kfb.or.kr/popup/120903.htm)하고 있는 전자금융사기 예방서비스 화면을 교묘히 악용하고 있다. 사이버 범죄자들은 실제 서비스 중인 다양한 전자금융사기 예방서비스용 안내 화면을 정교하게 모방하고 조작해서 이용자들을 현혹시키고 있다.
 
악성파일에 감염된 상태에서 국내 인터넷 뱅킹 웹 사이트에 접속하면 사용자 몰래 금융 피싱사이트로 변경되고, 전자금융사기 예방시스템 신청으로 사칭한 팝업창이 나타나게 된다.
 
조작된 이 팝업 화면을 이용한 악성파일(KRBanker)은 시티은행, 기업은행, 하나은행, 국민은행, 외환은행, 농협, 신한은행, 우리은행 등의 피싱사이트에 각각 이용되었다.
 
악성파일(KRBanker) 변종에 감염된 상태에서 각 금융권 사이트는 접속시 피싱사이트로 바꿔치기 되며, 팝업 공지문으로 사칭한 내용들이 보여지게 된다.
 
또한, 별도의 메시지 창을 띄어 금융자산예방서비스를 실행 후 사용하라는 안내화면을 보여준다.
 
메인 화면의 팝업창을 통해서 금융 피싱사이트에서는 사용자의 개인 금융정보 입력을 본격적으로 유도하게 된다. 각 금융권에 따라 실제처럼 보이도록 정교하게 디자인된 화면이 보여지게 된다.
 
첫 화면에서는 이름, 주민번호, 휴대폰번호, 계좌번호, 계좌 비밀번호, 사용자 아이디, 이체 비밀번호 등의 과도하게 많은 금융정보를 1차로 입력하도록 현혹시킨다.

 
이어서 다음단계에서는 가장 중요한 보안카드의 일련번호와 전체 비밀번호를 입력하도록 유도한다. 어떠한 경우라도 정상적인 금융권에서는 보안카드의 일련번호와 모든 번호를 요구하는 경우는 절대 없으므로, 이런 유사한 정보요구를 목격하게 되면 100% 전자금융사기라는 점을 명심해야 한다.
 
보안카드의 모든 정보가 입력되면, 사이버 범죄자들에게 매우 중요한 금융정보가 무단유출되며, 마치 정상적으로 예방서비스에 가입된 것처럼 화면을 보여준다. 이곳에는 [가입돠였습니다]라는 오타가 포함되어 있는 특징이 있다.
 
◇피싱 사이트 진위여부 판단 노하우
내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 육안상으로 진위여부를 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것이다.
 
따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것이다.
 
잉카인터넷 대응팀 관계자는 “2013년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것”이라고 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com