최근 국내 인터넷 뱅킹 서비스에 대한 파밍 공격에 이용되는 악성코드 유포 방식에 변화가 일어나고 있다.
 
순천향대 사이버보안연구센터(센터장 염흥열 교수) 관계자는 “파밍 공격은 공격자가 가짜 인터넷 뱅킹 사이트를 만들어 놓고, 정상적인 은행 고객을 가짜 사이트로 유도해 고객으로부터 인터넷 뱅킹 관련 인증 정보를 절취해 고객의 돈을 훔쳐가는 대표적인 인터넷 뱅킹 서비스의 공격 방식”이라며 “이러한 변화는 금융 파밍 악성코드 유포지를 제거하기 위한 한국인터넷진흥원과 정부의 대응이 효과를 발휘되는데 기인하며, 공격자가 이러한 대응 체계를 우회해 파밍 공격에 이용되는 악성코드 유포지가 조기에 탐지되고 삭제되는 것을 막을 수 있는 악성코드 유포 방식으로 바꾼 것으로 분석된다”고 밝혔다.
 
지금까지 공격자들은 주로 보안에 취약한 국내 웹사이트를 해킹해 해당 웹 사이트에 악성코드를 업로드하고 이 웹 사이트의 도메인 주소(URL)를 악성코드 유포를 위한 주소로 이용하고 있었다.
 
그러나 최근 악성코드가 업로드되어 유포되고 있는 국내 웹 사이트의 도메인 주소가 탐지되고 해당 웹 사이트 운영자에게 통보되어 조기에 삭제되고 있어서 공격자는 악성코드가 좀 더 많은 인터넷 사용자 컴퓨터로 유포될 수 있도록 국내 도메인 주소보다는 식별되어도 악성코드 삭제가 어려운 해외 IP 주소를 이용하는데 기인하는 것으로 분석된다.
 
실제로 최근 IP 기반 악성코드 유포지가 급격히 증가하고 있으며, 지난 해 12월 4주부터는 IP 기반 악성코드 유포지가 도메인 기반 악성코드 유포지를 넘어서고 있는 것으로 밝혀졌다.

 
염흥열 센터장은 “이 변화는 악성코드 유포 효과를 극대화하기 위한 시도로써 기존 국내 도메인 중심 악성코드 유포 방식에 더해 해외 IP 기반 유포 방식에 대한 대응도 필요하다”며 “공격자들의 새로운 공격 방식에 대한 지속적인 연구와 추적이 필요한 시점이다”라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com