국내에 지속적으로 다량 유포 중인 변칙적 광고프로그램(Adware)처럼 보이도록 조작한 후 메모리해킹 등 인터넷 뱅킹용 악성파일이 전파된 정황이 다수 포착됐다. 악성파일 제작자들이 보안업체의 관제를 우회하기 위해서 애드웨어모듈까지 변조해 사용하고 있는 것으로 드러났다.
 
잉카인터넷 대응팀은 2013년 7월 경에도 이와 관련된 정보를 공개한 바 있다. 2013년 12월 말에도 이와 같은 방식으로 다수의 메모리 해킹 방식의 인터넷 뱅킹용 악성파일류(KRBanker)가 전파된 바 있다.
 
잉카인터넷 관계자는 “우선 악성파일 유포자들은 각종 애드웨어들의 유포 경로를 통해서 은밀하게 배포를 시도하고 있다. 국내에 유포 중인 대부분의 변칙 광고프로그램들은 마치 정상적인 다운로드 프로그램이나 런처 등으로 이용자들을 현혹시키고 있다”고 주의를 당부했다.
 
한 예로 이용자들이 포털 검색 사이트를 통해서 특정 프로그램을 검색하면 공식 사이트가 아닌 개인블로그나 인터넷 카페 등에 등록되어 있는 비정상적인 다운로드 프로그램을 통해서 제휴 광고프로그램(Adware)을 설치하게 된다.
 
마치 정상적인 APK 파일처럼 위장한 EXE 프로그램 등을 통해서 이용자의 설치를 유도하고, 추가적인 다운로드 프로그램을 통해서 다수의 애드웨어들이 설치된다.

 
이렇게 전파 중인 애드웨어도 사회적인 문제이지만, 사이버범죄자들이 이런 광고프로그램의 모듈을 추가 변조해 인터넷 뱅킹용 악성파일 전파에 이용하고 있는 상황이다.

 
잉카인터넷 대응팀 분석에 따르면, 국산 애드웨어처럼 위장한 악성파일은 2013년 12월 23일 경 다수의 변종이 제작되었으며, 파일 섹션명을 동일하게 사용한 경우도 있다.
 
애드웨어 프로그램으로 위장한 악성파일이 실행되면 온라인 게임 계정 및 인터넷 뱅킹용 악성파일 등을 설치하며, 원래 실행됐던 악성파일은 본래의 애드웨어 프로그램으로 교체된다.
 
설치된 "kakutk.dll" 악성파일은 국내 금융사이트를 대상으로 메모리 해킹 및 금융정보 탈취 기능을 수행한다.
 
이번 메모리 해킹 변조용 인터넷 뱅킹 악성파일은 기존 금융보안 모듈 변조 대상에서 일부 모듈이 추가되었고, 대상 금융사이트도 추가되었다.
 
또한 보안카드 입력 오류처럼 위장하는 수법도 추가된 것으로 조사됐다.
 
잉카인터넷 대응팀은 “내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근 피싱사이트들은 매우 정교하고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해 예금을 불법 인출하기 위한 목적을 가지고 있다는 것을 알아야 한다”며 “따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있어야 한다”고 주의를 당부했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com