금융정보 탈취형 악성코드인 ‘램니트(Ramnit)’의 새로운 변종이 발견됐다. 이는 금융권이 아닌 게임 서비스 플랫폼 '스팀(Steam)'을 타깃으로 하고 있으며, 맨 인 더 브라우저(MiTB, Man in the Browser) 공격을 통해 스팀 계정의 로그인 정보를 훔치는 것으로 나타났다.
 
램니트는 2010년 처음 발견된 웜 바이러스로 로컬 컴퓨터 상에 있는 HTML 및 마이크로소프트 오피스의 실행 파일을 감염시킨다. 브라우저 쿠키와 로컬에 저장된 FTP(File Transfer Protocol) 정보를 훔칠 뿐만 아니라 웹 폼을 바꾸고 웹 페이지에 가짜 코드를 삽입시키기 위해 브라우저 프로세스를 중간에서 바꾸는, 이른바 MiTB 기법을 이용하고 있다.

 
램니트의 새로운 변종을 처음 발견한 보안업체 트러스티어(Trusteer)에 따르면, 이 악성코드는 게임 서비스 플랫폼 '스팀'을 타깃으로 하고 있으며, 로그인 폼 필드에 이용되는 클라이언트 측 암호화를 우회할 수 있고, 서버에서 실행되는 탐지 시스템을 무력화 할 수 있다.
 
과거에는 공격자들이 키로깅과 피싱 공격을 이용해 스팀 계정 정보를 훔쳤지만, 이제는 웹 인젝션과 같은 보다 진보된 기술을 이용하고 있는 것이다. 스팀 플랫폼은 전세계 게임 시장의 50%를 차지하고 있고, 5천4백만명의 유저를 보유하고 있어 여러해 동안 공격자들의 매력적인 먹잇감이었다.
 
램니트는 감염된 컴퓨터에서 사용자가 스팀 커뮤니티 사이트에 로그인 할 때 정보를 훔친다. 사용자가 스팀 커뮤니티 로그인 페이지에 접속해 아이디와 비밀번호를 입력하면 이 폼은 사이트의 공개키로 암호화 되지만, 이 악성코드는 평문으로 된 비밀번호를 확보하기 위해 폼을 수정한다.
 
이 때 로그인 페이지에는 어떠한 변화도 없기 때문에 사용자는 이러한 사실을 쉽게 알아채지 못한다. 화면은 원래 그대로인 것처럼 보이지만, 사실상 비밀번호의 암호화가 해제된다.
 
사용자가 폼을 입력하고 로그인을 하면, 램니트는 이 요청을 가로채고 암호화가 해제된 필드로부터 데이터를 읽어낸 후 스팀 웹 서버로 요청을 보내기 전 해당 필드를 삭제한다. 이에 따라 보안 소프트웨어가 악성코드 삽입을 탐지하기 위해 비정상적인 폼 요소를 스캔한다고 해도, 이를 피할 수 있다.
 
사실, 공격자는 키로깅을 이용해도 같은 목적을 이룰 수 있다. 하지만 키로깅 파일에서 실제 원하는 계정 정보를 얻기까지에는 많은 시간이 소요되기 때문에 공격자는 시간과 노력을 줄이기 위해 이러한 공격 기법을 이용하고 있는 것이다.
 
램니트는 원래 금융권을 타깃으로 했지만, 점차 비금융권으로 확대되고 있는 상황이다. 지난해에는 이 악성코드로 인해 페이스북 회원 4만5천여명의 계정이 유출되기도 했다. 이후 수많은 변종이 만들어 지면서 공격 기법 역시 다양해 지고 있다.  
 
데일리시큐 호애진 기자 ajho@dailysecu.com