제우스나 스파이아이와 같은 기존 악성코드 보다 더욱 진보된 기능을 갖춘, 전혀 새로운 금융정보 탈취형 악성코드가 발견됐다. ‘헤스퍼봇’이라고 명명된 이 악성코드는 유럽과 아시아의 인터넷뱅킹 사용자를 타깃으로 하고 있다.
 
이를 처음으로 발견한 보안업체 에셋(ESET)에 따르면, 헤스퍼봇은 키로깅, 화면 캡쳐, 녹음 기능 등을 가지고 있으며, 감염된 시스템에 원격 프록시와 VNC 서버를 몰래 설치할 수도 있는 ‘강력한’ 악성코드다. 물론 네트워크 트래픽 가로채기, HTML 인젝션 등은 금융정보 탈취형 악성코드가 갖고 있는 기본적인 기능에 해당된다.
 
공격자는 이 악성코드를 유포시키기 위해 피싱 기법을 이용한다. 신뢰할 수 있는 업체의 브랜드 이미지를 이용해 메일을 열람하도록 유도하고, 이를 열면 사용자는 악성코드에 감염되는 것이다. 일례로, 우체국에서 보낸 것으로 보이는 한 피싱 메일은 택배 배송 조회 관련 내용으로 위장돼 있다. 과거 많이 쓰인 기법이긴 하나, 사용자가 쉽게 알아채기 어려울 만큼 정교하게 만들어져 있다.

<포르투갈 은행 웹사이트에 삽입된 악성 스크립트. HTTPS 프로토콜 상의 합법적인 URL 주소에 주목할 필요가 있다. 출처: 에셋(Esset)>
 
흥미로운 점은 PC외에도 안드로이드나 심비안, 블랙베리 운영체제의 모바일 기기를 감염시키기 위해 해당 악성코드의 모바일 컴포넌트를 설치하도록 하고 있다는 것이다. 그 밖에 감염된 시스템에서 이메일 주소를 수집해 이 정보를 원격 서버로 보내는 데 이용되는 컴포넌트(Win32/Spy.Agent.OEC)도 발견됐다.
 
아직까지는 얼마나 많은 기기가 이 악성코드에 감염이 됐는지 그 수는 정확하지 않다.

다만 체코에서 이로 인해 금전적인 손실이 발생한 피해 사례가 보고된 것으로 알려졌다. 현재까지 알려진, 감염 건수가 가장 많은 국가는 터키이며, 이어 체코, 태국, 영국, 포르투갈 순이다.
 
에셋의 악성코드 분석가인 로버트 리포브스키(Robert Lipovsky)는 “헤퍼스봇은 대표적인 금융정보 탈취형 악성코드인 제우스나 스파이아이와 그 목적과 기능이 유사하지만, 악성코드가 실행되는 데 있어 두드러지게 다른 점들이 발견돼 이 악성코드가 기존에 알려진 악성코드의 변종이 아닌 전혀 새로운 악성코드군임을 알 수 있다”고 밝혔다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com