인터넷 뱅킹 파밍용 악성코드가 지속적으로 유포되고 있어 각별한 주의가 요구된다. 이 악성코드는 ‘DNS Cache’ 조작 및 ‘hosts.ics’를 생성해 사용자로 하여금 변조 웹 페이지로 접근을 유도한다. 변조 웹 페이지는 실명정보, 계좌정보, 인터넷 뱅킹 계정정보, 보안카드 정보 입력을 유도해 사용자 정보를 탈취하게 된다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다.
 
이와 관련 상세보고서를 발표한 NSHC(대표 허영일) Red Alert팀은 “악성코드가 시스템에 감염되면 hosts파일이 변조되고 hosts.ics 파일이 생성된다. 이를 통해 특정 레지스트리 키 값을 변조해 IE의 시작 페이지를 변경시킨다. 이때 사용자가 인터넷을 실행사면 공격자 서버의 변조된 시작 페이지에 접속된다”고 설명했다. 즉 변조된 페이지의 팝업을 통해 파밍용 인터넷뱅킹 페이지에 접속을 유도하는 것이다.

 
시작 페이지 및 각종 포털 사이트, 인터넷 뱅킹 사이트를 파밍하기 위해 hosts.ics에 기록된 URL리스트도 공개하고 있다.
 
Red Alert팀은 “인터넷 뱅킹 파밍에 관련된 악성코드가 지속적으로 유포되고 있다. IP정보를 특정 페이지에서 동적으로 파싱해 동작하는 것은 기존에 보고되었던 내용과 매우 유사한 형태를 띄고 있다”며 “파밍 페이지의 경우 일반 사용자들은 구분하기 어렵기 때문에 은행에서 제공하는 보안정책을 이용해 추가 인증을 하기를 권고한다. 또한 은행에서는 보안카드 전에 일련번호와 전체 번호를 요구하지 않는 다는 점을 명심해야 한다”고 강조했다.
 
이번 상세리포트는 Red Alert팀 페이스북 페이지와 데일리시큐 자료실에서도 다운로드 가능하다.
-Red Alert팀: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com