벌써 제우스 변종?...새 인터넷뱅킹 악성코드 등장

일반입력 :2011/05/12 10:39    수정: 2011/05/12 10:42

김희연 기자

새로운 온라인 뱅킹 트로이목마 악성코드가 등장했다. 악성코드 제왕으로 불리우는 '제우스'의 소스코드가 유출돼 파문이 일고 있는 가운데 이 악성코드가 제우스 변종이 아니냐는 주장도 제기되고 있다. 하지만 전문가들은 '썬스팟'으로 불리우는 이 악성코드가 제우스 변종은 아니라고 말했다.

11일(현지시간) 주요외신들은 썬스팟 트로이목마의 피해가 이미 발생하고 있으며, 전문가들은 이 악성코드가 기존의 온라인 뱅킹 트로이목마인 스파이아이, 제우스 등과 유사한 수법을 이용한다고 보도했다.

악성코드 전문가들은 이 트로이목마가 윈도를 기반으로 웹 인젝션, 키보드 입력을 탈취하는 키로깅, 스크린 슈팅 등의 브라우저 공격을 실행하도록 만들어졌다고 분석했다. 뿐만 아니라 사용자들에게 만기일, 비밀번호 힌트 등 추가적인 사용자 온라인 뱅킹 정보를 요청해 정보를 빼내간다. 그 다음 신용장 개설한도를 탈취한 정보를 이용해 이를 사용하는 것으로 알려졌다.

하지만 썬스팟 트로이목마가 일반적인 바이러스와 다르지 않지만, 현재 안티 바이러스 탐지도구들이 이를 전혀 탐지하지 못해 문제가 되고 있다. 외신들은 안티바이러스 프로그램 분석결과를 인용해 42개 프로그램 중 단 9개만이 썬스팟을 탐지해낸다고 전했다. 대부분의 악성코드 탐지 프로그램이 탐지하지 못한다는 얘기다.

보안전문가들은 이 악성코드가 일시적으로 유통되고 있는 것으로 분석한다고 분석하면서도 썬스팟의 악성코드 기술수법은 더욱 강해졌다고 말했다.

보안업체 트루스티어의 아미트 클라인 최고기술책임자(CTO)는 썬스팟은 금융 악성코드의 새로운 접근으로 기존의 제우스와 스파이아이 같은 플랫폼과 달리 크라임웨어 형태로 발전한 것이 아니다면서 이를 통해 악성코드 플랫폼에도 적은 변화의 시도가 일어나고 있음을 감지해야 한다고 말했다.

또 썬스팟은 특정 컴퓨터의 흔적을 남기지 않고도 이를 불법적으로 이용할 수 있어 기존 방법보다 더욱 고도화된 형태라고 덧붙였다.

관련기사

클라인 CTO는 제우스 소스코드의 변종이 아니냐는 주장에 대해 썬스팟은 제우스 코드가 유출되기 전에 개발된 것이라면서 이는 단순히 제우스 소스코드를 더욱 광범위하게 이용해 진화한 형태일 뿐이다고 말했다.

보안전문가들은 피해를 최소화하기 위해 백신 프로그램을 항상 최신 업데이트하고 출처가 모호한 파일이나 사이트에는 접근하지 않는 것이 좋다고 당부했다.