2021-07-24 11:20 (토)
더욱 강력해진 금융정보 탈취형 악성코드 KINS 등장!
상태바
더욱 강력해진 금융정보 탈취형 악성코드 KINS 등장!
  • 길민권
  • 승인 2013.07.30 22:55
이 기사를 공유합니다

제우스, 스파이아이, 시타델에 이어 등장...현재 온라인 포럼에서 판매중!
개인 및 기업 PC를 감염시켜 전세계 각지에서 약 5억 달러를 훔친 것으로 추정되는 시타델(Citadel)의 제작자들이 판매를 철수하기 시작한 이후 사이버 범죄자들은 새로운 금융정보 탈취형 악성코드를 찾기 시작했다. 그리고 최근 보안업체 RSA는 사이버 범죄자들의 구미에 맞는 완벽한 악성코드가 판매되기 시작했다고 발표했다.
 
이상적인 금융정보 탈취형 악성코드는 상업적으로 이용 가능하고 사용하기 쉬워야 하며 수준 높은 기술 지원이 함께 제공돼야만 한다. ‘킨스(KINS)’라는 이름의 새로운 악성코드는 이러한 조건을 모두 만족시키는 것으로 보인다.

 
킨스와 관련한 소문은 지난 2월부터 돌았고, 많은 사이버 범죄자들이 킨스의 판매자를 찾기 위해 많은 노력을 기울였다. 하지만 이를 판매한다는 광고가 러시아어로 쓰여진 온라인 포럼에 게재된 것은 최근 들어서다.
 
이 악성코드의 표준 버전은 5,000달러로 웹머니(WebMoney)를 통해 결제가 가능하며, 추가 모듈을 원하는 경우에는 2,000 달러를 더 지불하면 된다.
 
킨스의 제작자는 기존에 알려진 공격에 기반하지 않고 무에서부터 이를 개발한 것이라고 주장하지만, 이는 제우스(ZeuS), 스파이아이(SpyEye) 등과 여러 유사점을 가지고 있다. 예를 들어 구조가 이들과 유사하고 제우스의 웹 인젝션(injection)과 호환된다.
 
흥미롭게도 이 악성코드는 소련 외의 국가 사용자들에게 적용되도록 제작됐다. 만약 러시아어 혹은 우크라이나어로 된 시스템이 탐지되면 킨스는 종료된다. 이러한 특수 기능은 2012년 초 시타델에서 처음으로 발견된 것이다.
 
또한 악성코드의 추적을 우회하도록 고안됐다. 인기 익스플로잇 팩을 통해 전파되며, 윈도우 8과 64비트 운영 체제로 실행되는 컴퓨터를 감염시킬 수 있고, 부트킷(bootkit)과 함께 제공된다.
 
RSA의 사이버 범죄 전문가인 리모르 케셈(Limor Kessem)은 “악성코드 제작자들은 수사 당국에 체포되는 것을 피하기 위해 눈에 띄지 않게 숨는다”면서, “킨스의 제작자도 잡히지 않는 한 그는 해당 악성코드의 즉각적인 수요를 확인할 수 있을 것”이라고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com