금융정보 탈취형 악성코드인 시타델(Citadel)의 새로운 변종이 발견됐다. 사용자의 로그인 정보와 신용카드 정보를 훔치기 위해 웹 브라우저에 삽입되는 이 악성코드의 변종은 현지화 작업이 이뤄져 다국적 언어가 지원되는 것으로 나타났다.
 
개인 및 기업 PC를 감염시켜 전세계 각지에서 약 5억 달러를 훔친 것으로 추정되는 시타델은 사용자가 감염된 pc에서 웹사이트를 방문할 때 이 사이트를 수정하거나 다른 사이트로 바꿀 수 있으며, 이는 맨 인 더 브라우저(MiTB, Man in the Browser) 공격으로 알려져 있다. 해당 공격에는 사용자의 로그인 정보와 다른 민감한 정보를 빼내기 위한 일환으로 사용자를 속이기 위해 고안된 금융정보 탈취형 악성코드가 주로 이용된다.

 
보안업체 트러스티어(Trusteer)에 따르면, 새로운 변종은 SNS와 은행, 그리고 주요 이커머스(E-commerce) 사이트 등의 사용자들을 타깃으로 한다. 이 중에는 아마존과 프랑스, 스페인, 이탈리아 및 독일에 개설된 아마존의 로컬 사이트들도 포함돼 있는 것으로 나타났다.
 
이 악성코드에 감염되면, 타깃으로 설정된 웹사이트에 접속 시 의심스러운 활동이 감지돼 사용자의 계정 접속이 차단됐다는 메시지를 보여주고, 해당 계정의 사용자임을 확인하기 위해 자신의 개인정보 및 신용카드 정보를 입력하도록 요구한다.
 
이러한 사회공학적 기법은 오랫동안 피싱 공격에 이용돼 왔다. 그러나 전통적인 피싱 공격과 다른 점은 현지화 공격을 위해 해당 언어로 수정되며, 브라우저 주소창의 URL이 합법적인 웹사이트라는 것이다. 물론 이러한 공격이 전혀 새로운 것은 아니지만, 사용자의 눈을 속이기 위해 추가된 기법에 주목할 필요가 있다.
 
특정 변종은 삽입 화면을 생성하기 위해 다소 흥미로운 기법을 사용한다. 예를 들면, 드롭다운(drop down) 메뉴가 맞춤화 돼 있고, 현지 언어로 생성된 정보를 요청하는 등이 이에 속한다.
 
트러스티어는 이러한 악성코드의 행위와 봇넷의 C&C 구조를 분석한 결과 공격이 얼마나 정교하고, 전문성을 갖췄는지 시사하는 바가 크다고 설명했다. 이미 수천여대의 PC가 새로운 변종에 감염된 것으로 조사됐다.
 
한편, 지난달 초 미국 연방수사국(FBI)과 MS는 시타델 악성코드를 제거하기 위해 봇넷 1천400여개를 폐쇄한 바 있다. 미국을 비롯해 세계 각국의 정부에서 시타델 봇넷을 폐쇄하기 위해 많은 노력을 기울이고 있지만, 시타델 빌더만 있다면 어느 누구라도 새로운 변종을 만들어 내고, 그만의 새로운 공격을 시작할 수 있다고 전문가들은 경고하고 있다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com