2일 경찰청이 발표한 인터넷뱅킹 계정탈취 관련 악성코드는 보안모듈 메모리 해킹을 시도하는 악성코드로 결과적으로 금융기관의 아이디/비밀번호, 공인인증서 비밀번호, 보안카드 번호 등 실제 개인 금융정보를 탈취해 금전을 빼가기 위한 악성코드로 드러났다.   
 
이번 악성코드를 분석한 안랩 관계자는 “악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹해 정상 작동 과정에서 정보를 유출한다. 따라서 금융기관과 인터넷 뱅킹 사용자가 피해 전조를 명확하게 감지하기 어려워 피해 우려가 크다”고 밝혔다.  
 
특히 “타깃으로 삼은 은행 등 해당 금융기관에 특화되어 악성코드가 제작된 최초의 시도로 사전 공격없이 악성코드만으로 공격목표를 달성했다. 원스탑 공격이다. 타깃 금융기관에 적용된 보안 제품 즉 공인인증서와 키보드 보안 솔루션 등과 인터넷 뱅킹의 보안 매카니즘인 보안 카드를 동시에 직접 해킹한 사례는 최초이다”라고 경고했다. 기존에는 사용자 관리 부주의나 기존 정보 유출에 따른 2차 피해가 대부분이었다는 점에서 우려가 크다.   

 
◇메모리 해킹 악성코드의 심각성
해당 악성코드는 은행 사이트를 이용 시 자동으로 구동되는 보안 제품 즉 키보드 보안 솔루션, 공인인증서 등의 보안모듈의 메모리를 해킹해 무력화했다. 또 악성코드가 원하는 개인정보 유출을 먼저 수행하도록 작동한다.
 
또 각 악성코드들이 OO은행, OO 등 타깃으로 삼은 금융기관에 특화되어 제작되어 있고 또한 타깃 금융기관에 적용된 키보드 보안솔수션, 공인인증서 등의 보안제품 들을 직접 공격하며 기존에는 공인인증서 사전 탈취, 보안카드 정보 사전 탈취 등 사전 작업 후 공격을 시도했으나 이번에는 악성코드만을 이용해 원스탑(one-stop) 형태의 공격을 감행한 것이다.
 
한편 클라이언트 보안 제품에 대한 직접적인 해킹으로 정상적인 금융 사이트 접속 및 정상 보안 모듈 구동을 유지하면서 수행하는 공격시도라서 해당 금융기관 서버에서는 감지할 수 없는 상황이다.  
 
또한 특정 공격 방식의 경우 사용자 입장에서 보안카드 번호입력 시에 계속 에러가 나는 것 외에는 별다른 이상 징후를 파악하기 어려워 피해사실 확인과 관련, 이용자가 당일 인터넷 뱅킹으로는 피해사실을 알 수 없다. 더불어 피해자가 사전에 은행에 거래내역 SMS 전송 서비스를 신청해 문자를 받은 경우나 당일 은행 방문 시 잔고확인이나 은행 ATM 이용 시에 확인이 가능하기 때문에 뒤늦게 피해사실을 알게 될 가능성이 높다는 것이 특징이다.
 
◇메모리 해킹공격 시나리오
1. 사용자가 보안 취약 사이트 등 방문 시 해당 악성코드에 감염(악성코드 잠복)
2. 이후 (악성코드 감염PC)사용자가 금융 사이트를 방문하면 악성코드가 해당 사실을 감지
3. 악성코드는 사용자의 금융 사이트 방문 시 구동되는 보안모듈에 메모리 해킹 공격 감행.
악성코드는 평소에는 사용자의 일반 인터넷 이용 시에 반응을 안 하고 금융거래를 하기 위한 은행서비스 이용 시에만 동작. 즉, 사용자가 금융기관 금융거래 서비스 이용시 자동으로 동작하는 보안 모듈이 구동되면, 악성코드가 이를 감지해 보안모듈 메모리 해킹을 수행한다. 특히 보안 모듈 자체가 동작하지 않을 경우 금융기관에서 파악 할 수 있으므로 메모리 해킹 방식으로 보안모듈의 동작은 유지하되 무력화하고 악성코드가 원하는 사용자 개인정보 유출 등의 행위를 먼저 수행하도록 조치한다.
4. 금융기관 아이디/비밀번호, 보안카드 번호, 공인인증서 비밀번호 등 개인(금융)정보 탈취
5. 일정 시간 후 공격자는 탈취한 금융정보로 금전 인출 시도.
탈취한 보안카드 번호는 공격자의 에러처리로 은행에 전달되지 않았으므로 그대로 사용가능하다.
 
◇악성코드의 두가지 종류
A타입 악성코드는 먼저 금융 사이트 접속 시 사용자 PC에 설치되는 보안 모듈의 메모리를 해킹해 해당 보안 모듈의 기능을 무력화한다. 이후, 별도 제작한 ‘보안강화 설정’이라는 새로운 대화창을 띄워 금융정보 탈취를 시도. 대화창은 통장 비밀번호, 이체 비밀번호, 보안카드 번호를 입력하도록 유도. 1번~35번까지 모든 보안카드 번호를 입력할 때까지 에러 메시지를 반복하며 35개 보안카드 번호를 확인할 때 까지 계속 시도하는 경우로 추정된다. 이전 방식인 보안카드의 모든 번호를 한번에 입력하도록 하는 방식에서 발전해 지속적인 에러처리로 보안카드 비밀번호 전체를 파악하는 방법으로 보인다.
 
그러나 이 방법은 사용자가 수차례 입력하는 과정 중에 이상 징후를 느낄 수 있어 피해자가 다소 적을 것으로 판단된다. 다만, 성공할 경우 공격자가 보안카드 전체를 가지고 있는 셈이 되어 사용자가 확인하지 않는 한 수차례 금전 피해를 입을 수 있다.
 
B타입 악성코드는 보안 모듈의 메모리를 해킹하는 방식은 동일하다. 이 악성코드는 보안카드 번호 입력 시에 이를 가로채는 방식으로 공격자는 사용자가 보안카드 번호를 입력하면 이를 가로채고 오류 창이 뜨도록 조치한다. 이 방식은 A타입보다 알아내기 어려워 피해확산이 우려된다.
 
안랩 양하영 선임 연구원은 “분석결과, 현재 확인한 악성코드 형태 외에 200여개의 변종이 있을 것으로 추정하고 있다. 앞으로도 변종 악성코드 분석을 통해 지속적으로 대응해 나갈 예정이다”고 말했다
 
데일리시큐 장성협 기자 shjang@dailysecu.com