잉카인터넷 대응팀은 2013년 7월 23일과 12월 23일에 메모리 해킹 기능의 인터넷 뱅킹 악성파일(KRBanker)이 국내 애드웨어 서버를 통해서 전파되고 있다는 것을 최초로 공개한 바 있다.
 
물론 해당 조직들은 2013년 전후로 온라인 게임 계정 탈취 기능의 악성파일을 유사한 기법으로 계속 유포하고 있었지만, 2013년 중순 경부터 메모리 해킹 기능의 악성파일 전파를 본격적으로 시작했다. 
 
해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태이다.
 
애드웨어를 통한 유포방식은 Drive By Download 기법의 보안관제를 우회하기가 좋고, 보안취약점이 존재하지 않아도 된다는 장점 때문에 메모리 해킹 조직이 수 개월 이상 집중공격에 이용하고 있고, 매우 다양한 애드웨어가 악용되고 있는 실정이다.
 
악성파일 유포에 악용된 대표적인 국내 애드웨어 이름은 다음과 같이 매우 다양하고, 아래 공개한 서버 이외에도 다수가 발견되고 있는 실정이다.

 
무심코 설치해 방치하고 있던 애드웨어의 업데이트와 설치 등에 의해서 메모리 해킹 기능의 전자금융사기 공격에 광범위하게 노출되고 있어 그 심각성이 더해가고 있다.
 
◇유틸리티 서버를 겨냥한 결합형 해킹시도 징후포착
이런 가운데 2014년 1월 10일과 11일에는 동영상 재생 프로그램인 초코플레이어 웹 사이트를 통해 메모리 해킹 기법의 악성파일 유포에 악용된 정황도 포착되었다. 현재는 악성파일이 서버에서 모두 제거된 상태이다.
 
잉카인터넷 대응팀은 국내 애드웨어 서버를 통해 은밀하게 메모리 해킹용 악성파일을 유포하던 조직들이 유명 유틸리티 프로그램의 서버들도 노리고 있다는 것을 예의주시하고 있다고 밝혔다.
 
이들은 이미 과거에도 안카메라 서버를 해킹해 온라인 게임 계정탈취 기능의 악성파일을 배포된 바 있다. 아래는 2013년 3월 23일 안카메라 사이트에 올려진 사과 공지문이다.
-www.ancamera.co.kr/home/view.html?num=ch8fGA==&cate1=LkZdQR0l
 
이처럼 메모리 해킹 기능의 악성파일을 제작 유포하고 있는 조직은 매우 조직적으로 국내 웹 서버를 해킹해서 정상파일을 악성파일로 교체하는 지능화된 공격기법을 활용하고 있다.
 
따라서 이용자들은 우선적으로 감염되어 있는 애드웨어 치료를 적극적으로 수행하여야 하며, 개인 블로그나 커뮤니티 등에서는 프로그램 다운로드를 자제하고, 반드시 신뢰할 수 있는 유명 공식사이트를 이용하는 것을 명심해야 한다. 더불어 이와 유사한 악성파일들은 esetenp.dll, kakubi.dll,kakune.dll, kakutk.dll, verslon.dll, versxon.dll, godlion.dll, kerogod.dll 등의 파일명으로 생성되고 있고, 계속해서 변종이 제작되고 있다.
 
가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.
 
잉카인터넷 대응팀 문종현 팀장은 “최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다는 것”이라며 “따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 그동안 여러차례 강조했던 것처럼 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것”이라고 당부했다.
 
2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이며, 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것으로 보인다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com