트로이목마가 은행예금 빼간다

독일서 발견, ID도용은 물론 예금까지

일반입력 :2009/09/30 11:30    수정: 2009/09/30 18:00

이재구 기자

트로이목마 바이러스가 당신의 예금을 노린다.

지금까지 은행예금 ID를 도용하는 수단으로만 알려져 온 트로이목마바이러스가 은행예금까지 훔칠 수 있음이 밝혀졌다.

씨넷은 29일(현지시간) 보안회사 핀잔(Finjan)이 독일은행 계좌에서 이 새로운 형태의 지능적인 트로이목마바이러스를 발견해 확산주의보를 내렸다고 보도했다.

이 보안회사에 따르면 트로이목마에 감염된 독일의 한 은행에서 43만8000달러(5억2560만원)가 빠져나갔지만 개인 계좌별로 아주 적은 금액만이 빠져나가 예금주들은 눈치채지 못했던 것으로 확인됐다.

또 감염된 컴퓨터의 예금주의 현금거래 중에 예금이 교묘히 인출돼도 디스플레이 상에는 정상거래 상황만 표시되도록 설계돼 예금주들은 돈이 샜는지 알 수없었던 사실도 드러났다.

■독일은행, 우크라이나 서버 이용한 범인에 털렸다.

트로이목마바이러스는 예금자들이 은행계좌에 로그인했을 경우 기본적으로 가짜 대차대조표를 표시되도록 해 은행ID는 물론 예금까지 훔칠 수 있도록 설계됐다.

핀잔의 연구원들은 이 바이러스SW는 얼마나 많은 돈이 있는지를 계산한 후 얼마를 빼돌릴지를 계산할 수 있을 정도로 교묘히 프로그래밍돼 있다고 밝혔다.

연구원들은 독일의 은행의 대상으로 분석한 결과 우크라이나에서 제어되는 서버가 트로이목마에 감염된 PC에 명령을 내리고 있었다고 밝혔다.

이 트로이목마는 이름이 밝혀지지 않은 독일의 한 은행 계좌를 대상으로 분석하는 과정에서 정체가 드러났다.

핀잔연구원들은 “이것은 차세대 은행트로이목마이며 사기방지시스템을 피해가기 위한 더욱 새롭고 복잡한 시스템”이라고 말했다.

“은행트로이목마는 URL존이란 이름으로 불리는데 원래 비정기적 거래에 의해 유발된 사기를 탐지하는 시스템을 방해하기 위해 만들어진 것“이라고 유발 벤 이착 핀잔 최고기술책임자(CTO)는 말했다.

벤 이착 CTO는 감염PC의 SW로부터 우크라이나 소재 서버로 연결되는 보안통제가 되지않는 컴퓨터의 통신상황을 추적해 냈다고 말했다. 이 서버에서 럭키스포일트(Lucky Spoilt)라는 운영콘솔을 확인해 냈고 어떤 종류의 트로이목마가 피해자의 통계를 잡기위해 사용됐는지 밝혀냈다.

그는 럭키스포일트의 사이트에는 약 9만대의 컴퓨터가 방문했고 이 가운데 약 7.5%인 6400대가 감염됐다“고 말했다. 또 ”트로이목마가 감염된 컴퓨터가운데 약 수백명의 은행계좌가 현금을 도둑맞았다고 덧붙였다.

핀잔에 따르면 지난달 중순 22일동안 트로이목마 바이러스를 유포시킨 범인들은 43만8000달러에 상당하는 유로를 빼갔다.

■ 현금 남겨놓는 교묘하고 지능적인 바이러스

트로이목마 바이러스코드는 ‘트로이목마 바이러스가 피해자의 은행계좌로부터 얼마를 훔칠까‘를 계산하는 자세한 명령어를 포함하고 있다.

이 바이러스로 피해당할 가능성이 큰 사람은 컴퓨터를 통해 감염된 이메일을 열어보거나 맬웨어가 숨어있는 사이트에 컴퓨터를 연계시키는 경우여서 가능성은 누구에게나 열려있다.

이번 사건의 경우 럭키스포일트라는 맬웨어 툴키트가 브라우저 보안상의 잘알려진 허점을 이용해 주요 브라우저에 영향을 미치면서 트로이목마를 실행시킨 사례다.

트로이목마바이러스는 컴퓨터사용자가 타깃 은행을 방문할 경우 이를 감지해 즉각 행동에 들어간다.

핀잔에 따르면 컴퓨터사용자가 이 사이트에서 비즈니스를 할 때 트로이목마바이러스는 가능한 대차대조표를 알아내서 얼마를 훔칠지를 살펴보게 된다.

“트로이목마는 현금부정유출방지시스템이 가동하지 않을 정도로 훔칠 현금의 최소,최대 범위 내에서만 작동되며, 일정량의 현금을 남겨놓아 이를 알아채지 못하게 한다”고 벤 이착 CTO는 말했다.

계산이 끝나면 트로이목마는 컴퓨터사용자가 모르게 브라우저를 통해 돈을 이동시킨다.

트로이목마는 뱅크에 추심을 요청해 은행의 답신을 받는데 이때 실제 예금주의 화면에는 아무 것도 뜨지 않으므로 눈치채지 못한다는 게 핀잔의 분석이다.

■‘돈나르는 노새’에 인증서복사 수법까지

트로이목마바이러스의 이야기는 마치 한편의 영화같다.

이 바이러스를 이용해 빼내진 돈은 범인을 위한 1차계좌, 이른바 ‘돈나르는 노새(Money Mule)’에게 보내진다.

돈나르는 노새는 전형적으로 온라인상에서 ‘독립적 계약자’ 또는 ‘재정담당매니저’로 가계약돼 있으며, 이들의 유일한 목적은 커미션을 받고 그들의 계좌를 그 나라 밖에 있는 누군가의 계좌로 옮겨주는 것이다.

이들 계좌는 한두번 이용되고 버려지기 때문에 계좌주인들은 이들의 술책를 알아채지 못한다.

관련기사

게다가 이 트로이 목마는 계좌주인에게 가는 거래내역 보고흔적을 지우고 범행전처럼 계좌에 잔고가 그대로 있는 듯이 보이게 함으로써 범행을 숨기도록 설계돼 있다.

게다가 트로이목마는 피해자 은행계좌의 인증서에 접근해 스크린째로 이를 확보해 같은 사람의 페이팰,페이스북,G메일 등에 있는 다른 웹계좌를 훔치기도 한다.