최근 국내 인터넷 뱅킹 서비스에 대한 파밍 공격에 이용되는 악성코드 공격 방식에 변화가 일어나고 있다.
 
‘파밍 공격’은 공격자가 가짜 인터넷 뱅킹 사이트를 만들어 놓고, 정상적인 은행 고객을 가짜 사이트로 유도해 고객으로부터 인터넷 뱅킹 관련 인증 정보를 탈취해 고객의 돈을 훔쳐가는 대표적인 인터넷 뱅킹 서비스의 공격 방식이다.

 
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 “이번 악성코드는 접속만 해도 사용자가 인지하지 못하는 사이 악성코드가 설치되는 Drive-by Download방식으로 국내에서 많이 이용되는 스윗오렌지킷(Sweet-Orange Exploit Kit)으로 유포되고 있는 것으로 확인했다”며 “지금까지 파밍 악성코드는 호스트파일을 변조해 가짜 인터넷 뱅킹 사이트로 유도하는 방식이었으나 이번에 SCH사이버보안연구센터가 발견한 악성코드는 DNS의 정보를 가지고 실행되고 있는 svchost.exe 프로세스의 dnsapi.dll에 메모리를 변조하여 DNS정보 참조 위치를 바꾸어 가짜 인터넷 뱅킹 사이트로 연결을 유도하는 방식으로 변했다”고 설명했다.
 
사용자가 URL을 요청하게 되면 서비스가 svchost 프로세스를 이용해 호스트파일을 참조하여 주소를 가져오게 되는데 이번 악성코드에 감염되면 실행 중인 svchost 프로세스의 메모리를 변조하여 호스트파일을 참조하는 경로를 악성코드가 생성한 가짜 주소파일을 참조하게 되어 가짜 주소로 이동하게 된다.
 
김동석 연구원은“최근 밝혀진 파밍 공격방식의 변화는 악성코드 탐지에 있어 공격자가 호스트파일의 위변조가 검출되지 않도록 만든 기법이다.”라며 “사용자들은 이러한 공격에 대비해 항상 백신 업데이트를 최신버젼으로 유지하는 것이 중요하다”라고 강조했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com