2020-11-27 08:05 (금)
국내 금융기관 타깃 트로이목마 기승…공격툴킷 공다 통해 유포!
상태바
국내 금융기관 타깃 트로이목마 기승…공격툴킷 공다 통해 유포!
  • 길민권
  • 승인 2013.05.30 16:18
이 기사를 공유합니다

카스토브, 금융 정보와 디지털 인증서 수집 후 금융계정 접근
국내 금융 기관을 겨냥한 악성코드가 발견돼 각별한 주의가 요구된다. 전세계 정보를 보호하는 시만텍(www.symantec.co.kr)은 국내 금융기관 사용자의 암호•계좌정보•거래내역 관련 문자열 및 디지털 인증서를 수집해 계정에 접근할 수 있는 트로이목마인 ‘카스토브(Castov)’가 사이버 공격용 툴킷인 ‘공다(Gongda)’를 통해 유포되고 있다고 경고했다.
 
금융권을 노리는 사이버 범죄자들의 지식과 공격기술이 날로 고도화되고 있는 가운데 시만텍이 최근 발표한 ‘금융 트로이목마의 세계’에 따르면 사이버 공격자들은 금융권의 보안 강화에 대응해 ‘ATS(Automated Transaction Services)’, ‘TDS(Traffic Direction Services)’와 같은 진일보한 공격기술을 적용하고 있는 것으로 나타났다. 2012년 한 해 동안 금융 트로이목마 악성코드의 표적이 된 금융 기관도 600개가 넘는 것으로 확인됐다.


<5월 탐지된 공다 공격 분포도. 한국에 집중>
 
금융기관을 겨냥한 대부분의 악성코드는 공격용 툴킷을 통해 유포되고 있다. 시만텍이 공격용 툴킷 ‘공다’를 지난 몇 개월 동안 집중적으로 모니터링 한 결과 ‘공다’ 공격의 98%가 한국에 집중된 것으로 나타났다. 공격자는 사전에 국내 온라인 금융 환경에 대해 조사한 후 이를 바탕으로 국내 금융 기업과 그 고객들을 겨냥해 트로이목마 ‘카스토브’를 유포한 것으로 보인다.
 
이 공격은 1단계로 트로이목마 악성코드인 ‘Downloader.Castov’이 ‘델파이(Delphi)’ 개발 소프트웨어와 결합해 컴퓨터에 침투한 뒤 안티바이러스 소프트웨어의 구동을 중지시키는 것으로 시작한다. 악성코드는 이후 명령제어(C&C) 서버에 감염상황을 보고한 후 암호화된 파일을 다운로드 한다.
 
2단계에서는 ‘Infostealer.Castov’를 통해  연산코드에 명령을 내리고 패치하기 위해 국내 모든 온라인 뱅킹 소프트웨어 및 보안과 관련된DLL 리스트를 검색한다. 삽입된 코드는 암호, 계좌정보 및 거래내역의 형태로 나타나는 문자열을 수집하며, 수집된 데이터는 원격 서버로 전송된다.


<표적으로 삼는 DLL과 공격 유형>
 
또한 ‘Infostealer.Castov’는 손상된 컴퓨터의 NPKI 디렉토리에 저장된 디지털 인증서를 수집한다. 디지털 인증서는 국내에서 은행업무, 신용카드, 보험 등의 일반적인 금융 목적으로 널리 사용되고 있다. 사이버 공격자는 이렇게 수집한 스크린샷, 암호 및 디지털 인증서를 기반으로 사용자의 금융 계정에 접근할 수 있다.
 
시만텍코리아의 윤광택 이사는 “금융기관을 노리는 사이버 범죄는 금전적인 이득 때문에 특히 해킹 공격의 주요 표적으로 각광받고 있다”며, “금융기관의 보안 방어기술이 진화하는 속도만큼 공격자들의 수법도 정교해지고 있기 때문에 지속적으로 전반적인 보안 프로세스를 점검하고 보안 취약점을 찾아 제거하는 한편 보안 실천을 생활화하는 노력이 무엇보다 중요하다”고 말했다.
 
시만텍은 트로이목마 ‘카스토브’를 유포시키는 공격용 툴킷 ‘공다’가 상대적으로 보안 업데이트가 잘 이루어지지 않은 가장 최신 취약점을 빠르게 반영하고 있는 만큼 기업 및 개인 사용자 시스템을 최신 상태로 업데이트해야 한다고 권고하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com