금융정보 탈취를 위한 목적으로 사용되는 파밍 공격은 사용자들이 쉽게 접근 가능하고 신뢰할 수 있는 곳을 활용하는 등 계속 진화해가고 있다.  
 
오승택 빛스캔 연구원은 “기존 공격 방식은 악성코드에 감염이 되면 윈도우 시스템 디렉토리 내에 있는 hosts(ics) 파일 등을 변조해, 사용자가 온라인 뱅킹 사이트를 방문하는 경우에만 파밍 공격(공격자에 의해서 만들어진 가짜 사이트)이 발생했다”며 “하지만 최근에는 PC가 악성코드에 감염이 되면 네이버 및 다음과 같이 잘 알려진 포털에 접속할 때, 이미 공격자가 만들어 놓은 포털 사이트로 변경되어 보여주고, 그 이후 금융 정보 탈취가 이루어 지는 방식으로 진화하고 있다”고 설명했다.

 
빛스캔(대표 문일준)에 따르면, 7월 5주차에 탐지된 악성링크에서 새로운 파밍 공격이 출현했으며QR코드를 활용하는 정황도 나타났다고 전했다.
 
기존 파밍 공격은 5개의 은행을 파밍 사이트로 유도 했다면, 신규 파밍 공격은 제1은행권 모두를 파밍 사이트로 유도하고 있으며, 디자인도 좀더 정교해졌다는 것이 특징으로 꼽을 수 있다.
 
한편 오 연구원은 “포털 사이트의 팝업 창에서 파밍 사이트로 연결되는 인터넷 뱅킹 사이트를 클릭해서 방문하면 기존에 보이지 않았던 QR코드를 이용한 파밍 사이트로 유도하는 정황이 포착 되었다”며 “이는 스마트폰 및 테블릿 PC의 QR코드 인식 애플리케이션을 사용하면 해당 내용이 인터넷 사이트에 접속 되도록 유도 하고 있었으며 QR코드 인식 결과 www.koboan.com 사이트로 연결이 되는 것은 확인이 되었지만, 최종적으로 사이트에는 접속이 진행되지는 않았다”고 설명했다.  
 
이처럼 공격자들은 사용자들이 일상 생활에서 자주 이용하는 신뢰할 수 있는 것들을 악용하는 전략세우고 있다. QR코드도 우리가 일상생활에서 많이 접하고 있는 코드다. QR코드는 정사각형 모양의 불규칙한 마크를 쉽게 연상할 수 있으며, QR은 Quick Response의 약자로 “빠른 응답을 얻을 수 있다”는 의미다. 현재도 사용되고 있는 바코드보다는 좀더 발전한 코드 체계로, 온라인이든 오프라인이든 스마트 폰, 테플릿 PC 등의 QR코드 인식 애플리케이션을 사용하면 해당 내용이 인터넷 사이트에 접속되어 추가 정보의 확인이 가능하며, QR코드를 이용하면 좀더 신뢰할 수 있다는 점을 공격자가 전략적으로 이용 할 수 있기 때문에 모바일 사용자의 금융정보를 탈취할 가능성이 대단히 높아 각별한 주의가 필요하다.
 
오 과장은 “QR코드까지 활용한다는 의미는 기존 PC에 대한 파밍 공격에 이어 모바일까지도 공격의 범위로 확장하기 위한 신호로 해석될 수 있다는 점”이라며 “취약한 웹 사이트 내에 삽입되어 있는 악성링크(비정상링크)에 의해 대량으로 유포되는 문제점을 해결하지 않는 한 이러한 파밍 공격을 차단하기 어렵다. 또한 새로운 파밍 공격이 꾸준이 발생하기 때문에 전체 범위를 모니터링 하고 사전탐지하지 않는 이상 예측이 힘들 수밖에 없다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com