보이스피싱에 이어 우리를 당황시키는 파밍 악성코드가 지속적으로 발견되고 있어 특별한 주의를 기울여야 할 것으로 보인다.
 
안랩 ASEC 대응팀은 “과거에는 보이스 피싱으로 대표되는 피싱 사기가 주를 이루었다. 하지만 최근에는 가짜 은행 사이트에 접속하도록 해 금융 정보를 빼내는 '파밍', URL이 포함된 문자 메시지로 악성코드를 유포하는 형태의 '스미싱'까지 그 수법이 날로 고도화하고 있다”며 주의를 당부했다.  
 
이들의 구체적인 의미를 정리하면 아래와 같다. 
◇피싱(Phising): 금융기관 등으로 위장해 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기 수법이다.
 
◇파밍(Pharming): 합법적인 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤 개인정보를 탈취하는 공격 기법이다.
 
◇스미싱(Smishing): 스마트폰 사용자를 타깃으로 무료 쿠폰, 스마트 명세서 등의 낚시성 광고 문자를 보내 악성코드를 유포하고 소액 결제 방식으로 돈을 빼가는 해킹 수법이다.
 
ASEC 대응팀은 파밍 악성코드가 감염되는 과정을 아래와 같이 설명하고 있다.  

 
1. 악성코드 제작자는 악성코드 파일과 이를 유포시킬 서버를 구축한다.
2. 그런 다음 보안이 취약한 웹서버에 악성코드 유포 사이트 접속 코드를 강제로 삽입해 둔다.
3. 사용자가 보안이 취약한 웹서버에 접속한다.
4. 악성코드 유포 사이트로 리다이렉트된다.
5. 사용자의 컴퓨터가 악성코드에 감염된다.
6. 악성코드 제작자는 악성코드에 감염된 사용자의 컴퓨터에 호스트 파일 변조나 DNS 서버 변조 등을 가한다.
7. 이 때문에 사용자가 정상 사이트에 접속해도
8. 가짜 은행 사이트에 접속돼 사용자의 금융정보를 탈취한다.
9. 악성코드 제작자는 이렇게 수집한 금융정보로 사용자의 계좌에서 현금을 인출한다.
 
해당 악성코드에 감염되면 ‘svchsot.exe’ 등의 파일을 생성해 [시작 프로그램]에 등록되어 부팅 시 마다 실행된다.
 
또한 C:WindowsTasks 폴터에 [예약된 작업] 항목을 등록하고, 지정된 시간(1시간 이후부터 24시간 이후까지)마다 실행되도록 한다.
 
또한 아래와 같이 hosts.ics 파일을 변경하여 정상 은행 웹사이트의 접속을 막는다.

 
윈도우 운영체제는 입력한 URL이 hosts 파일에 존재할 경우, DNS 서버에 요청하지 않고 지정된 IP로 연결을 시도한다.
 
악성코드는 은행 도메인이 악성코드 유포 IP에 연결되도록 hosts 파일을 수정하며 사용자가 가짜 은행 홈페이지에 접속하도록 유도하는 것이다.

 
ASEC 대응팀은 “이러한 악성코드에 감염되는 것을 예방하기 위해서는 지속적인 보안 업데이트 설치, 자바 및 플래시 플레이어 등의 프로그램의 최신 버전 유지, 상용 백신 프로그램의 최신 엔진 유지 및 실시간 감시 기능 사용 등을 지켜야 한다”고 강조했다.
 
데일리시큐 오병민 기자 bmoh@dailysecu.com