NSHC RedAlert팀 “계좌이체 이후 보안카드 정보 재입력 주의해야”
보안카드 정보를 탈취하는 악성코드가 확인됐다. 해당 악성코드는 다음 계좌이체시에 사용되는 보안카드 요청 번호를 알 수 있는 문제점을 악용한 것이다. 공격자는 정상적인 계좌이체가 성공한 후 바로 다음 이체 시에 사용되는 보안카드 요청 번호를 알아내고 사용자로부터 입력을 유도해 정보를 탈취하는 방법을 사용기 때문에 인터넷뱅킹 이용자들은 각별한 주의를 기울여야 한다.NSHC(대표 허영일) RedAlert팀은 하우리와 공동으로 ‘금융 보안카드 정보 탈취 악성코드’에 대한 상세 분석보고서를 발표하고 이용자들의 주의를 당부했다.
RedAlert팀은 보고서에서 “일반적으로 인터넷뱅킹을 이용할 대 보안카드 번호를 요청하게 되고 계좌이체 성공 후에는 추가 요청을 하지 않는다. 하지만 해당 악성코드는 계좌이체 성공 후에도 보안카드 입력 요청을 다시 하도록 유도한다”며 “이때 공격자는 다음 보안카드 입력 요청 정보를 미리 획득해 추가로 사용자가 입력하는 보안카드 정보를 사용할 수 있게 된다”고 설명했다.
또 “보안카드 입력 요청은 계좌이체가 정상적으로 성공할 때까지 변경되지 않기 때문에 사전에 공격자가 획득한 계좌정보와 사용자가 입력한 보안카드 번호를 이용해 계좌이체를 수행할 수 있다”며 “보안카드 입력 요청이 계좌이체 성공까지 변경되지 않는 이유는 전자금융감독규정에 의거한 규정사항이다. 공격자는 이러한 규정을 교묘하게 이용한 것”이라고 덧붙였다.
예를 들어, 거래시 보안카드 7번의 앞자리와 18번의 뒷자리를 요구했다면 그 거래가 비정상적으로 종료되면 바로 이어지는 다음 거래에도 똑같이 7번의 앞자리와 18번의 뒷자리를 요구해야 한다.
악성코드는 다음 계좌이체를 요청만하고 거래를 성사시키지 않기 때문에 보안카드 정보만 획득할 수 있는 것이다. 이때 거래가 성사되지 않았기 때문에 공격자가 계좌정보를 이용해 인터넷 뱅킹을 재시도할 때도 같은 보안카드 번호를 요청하게 되는 것이다.
RedAlert팀은 “다만 금융기관에 따라 IP 주소가 다른 경우 이전 거래가 성사되지 않았더라도 보안카드 입력 요청 번호가 달라지는 경우도 있다. 하지만 공격자는 이런 경우에 대상의 시스템에 터널링을 이용해 접속해 같은 IP 주소로 계좌이체를 시도할 수 있다”고 경고했다.
해당 보고서에는 악성코드 정보와 동작, 드랍 파일, 코드 분석 등 상세한 정보가 포함돼 있다.
RedAlert팀은 “해당 악성코드는 정상적인 계좌이체가 이루어진 직후 다시 이체를 시도하지 않아도 다음 보안카드 요청 번호를 미리 알 수 있는 문제점을 이용한 것으로, 계좌이체 성공 직후에는 보안카드 정보를 다시 요청하더라도 보안카드 정보를 추가로 입력하지 않아야 한다”고 주의를 당부했다.
상세 분석보고서는 RedAlert팀 페이스북과 데일리시큐 자료실에서 다운로드 가능하다.
-RedAlert팀 페이스북: www.facebook.com/nshc.redalert
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지