금융해킹의 대표적 수단으로 등장한 트로이목마가 이젠 인터넷익스플로러는 물론 파이어폭스로 전선을 확대하고 있다. 이를 이용하는 범인들은 감염된 PC를 이용한 자신들이 온라인상에 등장했었던 사실조차도 보안검색으로 알아내기 힘들도록 할 정도로 발전하게 될 것으로 전망됐다.
트로이목마의 대표격인 제우스가 1천개 이상의 버전으로 공격대상 금융기관 계좌에 따라 변종으로 바뀌면서 전세계 은행사기의 절반 가까이를 차지하는 가운데 전세계 보안전문가들은 이같이 경고하고 나섰다.
트로이목마를 이용한 은행사기는 ‘제우스’ 또는 ‘Z봇’으로 불리는 트로이목마 프로그램에 의해 이뤄지고 있다.
월스트리트저널은 8일 트로이목마가 특히 대형은행과 거래하면서도 자체 보안이 취약한 중소기업들을 잇따라 먹잇감으로 삼고 있다며 주의를 촉구했다.
패트릭 페터슨 시스코시스템 보안담당은 지난 주 샌프란시스코에서 열린 RSA IT보안컨퍼런스에서 은행들이 계좌이체를 할 때 어욱더 검증절차 강화를 대안으로 주장했다.
■교묘한, 너무나도 교묘한 트로이목마
전문가들에 따르면 이 방식은 금융데이터를 중간에서 가로채는 동시에 사라져 버리며 예금주와 은행도 모르는 새 예금을 빼가는 방식으로 이뤄지며 기존 버전과 달리 보안SW로도 들키지 않을 정도로 강력해지고 있다.
동유럽의 저작자들에 의해 수천달러에 팔리는 최신 버전은 대형은행의 SMS텍스트메시지인증과 패스워드변화방식의 물리적 징표를 포함한 보안시스템을 파괴할 정도로 잡기가 더 힘들고 더 치명적이며 위혐하다.
보도는 지난 주 샌프란시스코에서 끝난 RSA보안 IT컨퍼런스에 참석한 전세계 보안전문가들의 말을 인용, 지난해 미국은행과 그들의 고객들의 컴퓨터공격, 그리고 잘못된 예금이체로 인한 피해는 한분기에만 7억달러에 이른다고 전했다.
·
연방예치보험사(FDIC)의 전문가들은 지난 해 3분기에만 트로이목마로 본 피해는 2년 전의 3배인 1억2천만달러에 이르렀다고 말했다.
보도는 이 변형 제우스 또는 Z봇은 가짜 이메일이나 소셜네트워크 링크를 통해 보내졌던 기본 버전과 달리 보안SW에 의해서도 들키지 않는다고 전했다.
지난해 11월 완성된 제우스의 프레미엄버전은 인터넷익스플로러(IE)에 가짜 데이터입력부문을 개설해 줌을써 실제 은행거래가 이뤄지는 동안 구매자들에게 SMS코드와 다른 추가 인증데이터를 확보할 수 있도록 해 줄 정도다.
전문가들은 한층 향상된 트로이목마는 사용자가 패스워드를 치면 범인은 이를 즉각 볼 수 있을 정도로 발전해 있다고 전했다.
케빈 스티븐스 시큐어웍스연구원은 차기버전인 제우스1.4는 이 능력을 파이어폭스로 확대해 나가게 될 것이라고 말했다. 그는 제우스1.4테스터들 간의 전자채팅을 인용해 이같이 말했다.
스티븐스는 범인들은 스스로의 디지털상에서 등장했었던 사실조차도 감염된 PC를 이용해 보안검색으로 알아내기 힘들도록 하게 될 것이라고 말했다.
■중소기업이 주된 타깃-트로이목마 관련 소송 잇달아
사이버범죄 분야의 최대 숙제인 트로이목마인 제우스와 싸우고 있는 법집행기관의 관계자들은 제우스를 운영하는수백명의 절도범들이 중소기업을 노리고 있다고 말한다.
이들은 보다 큰 은행계좌를 갖고 있지만 덜 강력한 전자보안을 갖추고 있기 때문이라는 게 그 이유다.
은행들은 중소기업들에게는 전형적으로 제공하는 사기관련 보증서비스를 확대하지 않았다.
리틀앤킹이라는 뉴용마케팅회사는 지난달 트로이목마 제우스가 16만4천달러를 채가는 바람에 는 파산보호신청을 해야 할지 모르는 상황에 처했다고 말했다.
작지만 사업이 확대되고 있는 수많은 기업들이 그들의 은행을 상대로 소송을 벌이고 있다. 이들은 소비자보호법에 따라 ‘상업적으로 합당한' 보호조치를 요구하고 있다.
달라스 소재 플레인스캐피털은행은 키에프,모스크바 및 다른 지역에 해외 이체를 하면서 23만달러를 잃어버린 힐러리머시너리라는 회사에 대해 선제 소송을 했다.
트로이 오웬 힐러리부사장은 “우리는 해외의 어느 누구에게도 돈을 보내거나 비즈니스를 한 적이 없다”며 “누군가가 인증없이 신용카드를 사용한 것과 마찬가지로 돈을 우리 계좌로 되돌려 놓아야 한다고 말했지만 그들은 책임이 없다고 발뺌하고 있다”고 말했다.
플레인스캐피털은행은 힐러리가 잘못이라고 말했다. 플레인스캐피털의 경우 고객들에게 자금이체를 하기 전에 은행거래시 사용할 컴퓨터주소와 함께 힐러리은행이 제공한 e메일을 등록해 줄 것을 요구했다.
이 은행은 힐러리의 컴퓨터가 손상됐을 지도 모른다고 말했다.
힐러리는 “지난 달 플레인스캐피털이 알려진 범죄노력으로부터 자금을 보호하는 보안조치를 실행하는데 실패한 것은 말이 안된다”며 되려 이 회사를 역제소했다.
관련기사
- 트로이목마가 은행예금 빼간다2010.03.09
- '맥 OS X' 노리는 트로이목마 킷 등장2010.03.09
- “계정 탈취에 광고창 도배까지”…트로이목마 증가세 무섭다2010.03.09
- 베이징올림픽 관련 트로이목마 기승2010.03.09
한편 러시아,우크라이나 및 서방관리들은 개인버전의 제우스의 확산을 모니터 해왔기 때문에 향후 수개월 내에 갱단의 멤버를 알아내 수 있을 것으로 믿고 있다.
보안회사인 트렌드마이크로는 “제우스가 향수 수년간 넘쳐날 것이지만 트로이목마인 제우스프로그램을 만든 프로그래머에게는 별로 행운이 따르지 않을 것”이라고 전망했다.
