“공격자가 만든 파밍 은행사이트에 금융정보 입력하는 사용자 일주일에 200여 명”
파밍 피해자들이 입력한 개인 금융정보가 공격자 서버에서 실제로 확인되고 있다. 더욱 큰 문제는 대규모 인증서 탈취와 이 정보를 활용해 공격자들이 실제로 돈을 인출해 가는 등 금융피해를 발생시키고 있다는 점이다.공격자들은 지난 4년간 게임계정 탈취를 위한 악성코드 형태가 금융정보 탈취 형태의 악성코드로 변환된 시점은 최근 2년이다. 매주마다 국내 주요 대응 방안을 회피하는 적극적인 악성코드 유포는 계속되고 있다. 관계 기관과 보안업체들은 대규모 유포가 발생될 때마다 이메일 혹은 불법적인 파일을 다운로드 받은 개인의 책임이라는 전제하에 피해예방과 대책마련을 하고 있다.
빛스캔(대표 문일준) 측은 “매주마다 수천 건 이상의 인증서 파일 탈취와 수백 명의 파밍 피해자 정보가 직접 입력되고 있는 상황이다. 더 심각한 것은 수 만대 이상의 좀비 PC가 매주 발생된다는 점이다. 그것도 주요 백신이나 보안장비들에 의해 탐지가 되지 않는 악성코드 감염이 계속되고 있다”며 “문제의 핵심을 외면한 결과는 지금도 대규모 인증서 탈취와 실제 파밍 정보의 입력, 그리고 금융피해의 직접적인 확인이 관찰되는 상황이다. 이제는 더 이상 개인의 잘못으로 문제를 전가할 수 없으며, 인터넷 금융에 대한 소비자 신뢰도에 심각한 영향을 주는 상황에 도달한 것”이라고 지적했다.
▲파밍 사이트에 입력된 개인 금융정보 기록. 매주 200여건 가량 확인
빛스캔 조사에 따르면, 파밍사이트에 금융정보를 입력한 피해자들이 매주 200여명 가량이 되고 있고 11월초 현재까지 모두 600명 가량의 피해자 정보를 관계기관에 전달해 추가 피해를 막을 수 있도록 조치한 바가 있다. 그러나 피해자 정보가 기록된 내용의 일부에는 탈취된 금융정보를 직접적으로 이용해 조회 혹은 이체를 실시한 기록도 확인됐다.
금융 거래내역을 확인할 수 없는 상황에서 실제 피해라고 단정 지을 수는 없지만, 대규모 인증서 유출과 입력된 금융정보만으로도 충분히 가능성은 높다고 볼 수 있다. 피해자들을 관리하는 곳에 남겨진 기록들은 사실유무와 관련 없이 그 기록의 의미만으로도 위협적인 상황이다.
금융 거래내역을 확인할 수 없는 상황에서 실제 피해라고 단정 지을 수는 없지만, 대규모 인증서 유출과 입력된 금융정보만으로도 충분히 가능성은 높다고 볼 수 있다. 피해자들을 관리하는 곳에 남겨진 기록들은 사실유무와 관련 없이 그 기록의 의미만으로도 위협적인 상황이다.
▲공격자 서버에서 발견된 금융 정보 관리 내용 중 일부
매주마다 수천여 곳의 국내 웹서비스에서 접속만 해도 감염이 발생할 수 있는 상황이 계속 되고 있다. 더불어 2014년 하반기에는 기존의 탐지 방식으로는 탐지되지 않는 공격 도구들이 주로 이용되고 있는 상황이라 탐지와 대응은 부족한 상황이다.
P2P 사이트, 여행사, 쇼핑몰, 커뮤니티 등을 방문하고, 인터넷 신문기사를 검색했을 뿐인데 어느새 PC는 좀비 PC가 되어 원격에서 조정이 된다. 이런 과정에서 기업 내부의 PC들이 웹서핑만으로도 감염이 되고 있다. APT 공격의 발화점이 되는 것이다.
이런 상황에 대해 빛스캔 관계자는 “선행적인 대응이 아닌 사후 대응과 탐지가 주된 대응체계인 상황에서 순식간에 변경되고 불특정 다수에게 감염되는 악성코드에 대한 대응은 뒷짐을 진 것과 다를 바가 없다”며 “수백 곳 이상의 웹서비스를 통해 동시에 동일한 악성코드를 유포하고, 순식간에 변경하는 공격자들에 비해 대응은 따라가지 못하고 있다. 평시에도 전략과 전술에서 완전히 밀리는 상황에서 위급한 상황이라고 달라질 것은 없다. 대부분 사고 발생 이후에만 분석과 대응에 집중한다. 그래야 성과가 보일 수 있기 때문일까. 성과에 집중하는 것보다 더 중요한 것은 사전에 위험을 얼마나 줄이고 대응 시간을 앞당길 수 있느냐 하는 점에 집중해야 한다”고 강조했다.
또 “매주 악성코드 유포와 감염을 추적하며 부수적으로 발견되는 인증서의 수량은 중복과 무효화된 인증서의 구분 없이 올해에만 십만여 개 이상의 수량이다. 더욱이 최근에서야 추적된 파밍 정보 관리의 경우도 매주 수백 명이 관찰 되고 있다. 이 중에서 실제 금전 피해를 입은 소비자들도 있을 수 밖에 없다”며 “모든 문제의 시작은 취약한 웹서비스들로부터 비롯된 것이다. 대량 유포와 즉시 변경 전략은 대부분 보안대책을 무력화 시키고 있다. 그 반증은 국내 주요 법인들과 대기업들의 인증서도 외부에 유출된 정황으로 간접 확인할 수 있다”고 밝혔다.
현재 빛스캔은 국내·외 410여 만개의 웹 서비스들을 4년 이상 지속적으로 모니터링하고 있으며, 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히, 전세계에서 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있다. 특히, 매주 수요일 한 주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있으며 알려지지 않은 위협에 대해 대응하기 위한 정보들을 제공하고 있다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
P2P 사이트, 여행사, 쇼핑몰, 커뮤니티 등을 방문하고, 인터넷 신문기사를 검색했을 뿐인데 어느새 PC는 좀비 PC가 되어 원격에서 조정이 된다. 이런 과정에서 기업 내부의 PC들이 웹서핑만으로도 감염이 되고 있다. APT 공격의 발화점이 되는 것이다.
이런 상황에 대해 빛스캔 관계자는 “선행적인 대응이 아닌 사후 대응과 탐지가 주된 대응체계인 상황에서 순식간에 변경되고 불특정 다수에게 감염되는 악성코드에 대한 대응은 뒷짐을 진 것과 다를 바가 없다”며 “수백 곳 이상의 웹서비스를 통해 동시에 동일한 악성코드를 유포하고, 순식간에 변경하는 공격자들에 비해 대응은 따라가지 못하고 있다. 평시에도 전략과 전술에서 완전히 밀리는 상황에서 위급한 상황이라고 달라질 것은 없다. 대부분 사고 발생 이후에만 분석과 대응에 집중한다. 그래야 성과가 보일 수 있기 때문일까. 성과에 집중하는 것보다 더 중요한 것은 사전에 위험을 얼마나 줄이고 대응 시간을 앞당길 수 있느냐 하는 점에 집중해야 한다”고 강조했다.
또 “매주 악성코드 유포와 감염을 추적하며 부수적으로 발견되는 인증서의 수량은 중복과 무효화된 인증서의 구분 없이 올해에만 십만여 개 이상의 수량이다. 더욱이 최근에서야 추적된 파밍 정보 관리의 경우도 매주 수백 명이 관찰 되고 있다. 이 중에서 실제 금전 피해를 입은 소비자들도 있을 수 밖에 없다”며 “모든 문제의 시작은 취약한 웹서비스들로부터 비롯된 것이다. 대량 유포와 즉시 변경 전략은 대부분 보안대책을 무력화 시키고 있다. 그 반증은 국내 주요 법인들과 대기업들의 인증서도 외부에 유출된 정황으로 간접 확인할 수 있다”고 밝혔다.
현재 빛스캔은 국내·외 410여 만개의 웹 서비스들을 4년 이상 지속적으로 모니터링하고 있으며, 악성코드 유포에 이용되는 악성링크를 추적하고 있다. 특히, 전세계에서 공격이 매우 극심한 국내의 상황에서 특화된 기술과 역량을 통해 집중적인 노력을 기울이고 있다. 특히, 매주 수요일 한 주간의 한국 인터넷 위협현황에 대해 정보를 제공 하고 있으며 알려지지 않은 위협에 대해 대응하기 위한 정보들을 제공하고 있다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
