시중 대형 은행을 대상으로 한 악성코드 공포가 다시 시작됐다. 최근 제1금융권 은행들을 겨냥한 것으로 보이는 악성코드가 성행하고 있어 관련 업계가 긴장하고 있는 것으로 알려졌다.
30일 금융관련 업계에 따르면, 지난 27일 금융 당국이 국내 주요 은행들을 대상으로 악성코드 주의 공문을 보냈다. 내용인즉 은행을 겨냥한 악성코드 유포 징후가 발견돼 주의 조치가 필요하다는 것이다.
이 악성코드는 금융당국의 공문이 내려오기 하루 전날에 발견된 것으로 알려졌다. 그러나 이 악성코드가 실제로 처음부터 은행을 겨냥했는지 등 자세한 상황은 분석이 필요한 상태다.
이에 대해 한 주요 은행 관계자는 은행 내 전산망은 내외부망 분리가 확실히 이뤄져 있고 인터넷이 연결돼 있더라도 업무관련 웹사이트 몇 개를 제외하고는 이메일이나 파일 저장 등이 전혀 불가능하다면서 정책상 인터넷 사용이 제한된 부분이 많다고 안전성을 강조했다.
그러나 비교적 보안 정책 적용이 체계적으로 갖춰진 금융권이라도 보안에 대해서는 안심할 수 없는 상황이다. 한 보안 전문가는 일단 은행을 대상으로 한 악성코드가 발견됐기 때문에 얼마든지 피해가 있을 수 있다고 지적했다. 그는 실제로 망분리가 돼있더라도 지능화된 악성코드를 이용한 지능형지속가능위협(APT) 공격이 발생할 수 있다고 덧붙였다.
현재 관련업계는 이번 악성코드와 관련해 당국으로부터 샘플을 넘겨받아 분석 작업 중인 것으로 알려졌다.
또다른 보안 전문가는 공격자 입장에서 보면 원하는 정보는 내부망에 존재하기 때문에 중요 데이터로 접근하기 위해 APT처럼 은밀하게 특정 루트를 통해 침입해 내부망에 침투하려고 시도했을 것이라고 말했다.
그는 이어 특히 망분리가 이뤄진 금융권의 경우는 내부망으로 접근하기 위해 주로 금융관련 사이트를 통해 악성코드가 유포해 PC를 감염시킨 후, 내부에 접근하기 위한 추가 정보들을 백도어나 키로거 기능 등을 통해 수집했을 가능성이 높다고 분석했다.
실제로 대다수 해커들이 APT공격으로 다수의 PC를 감염시킨 후 필터링 작업을 통해 사용자 정보를 파악하는 것이 그리 어렵지 않다는 점도 피해 가능성을 의심해 볼 수 있는 대목이다. 그 동안 금융권에서 발생했던 해킹 사태를 봐도 개연성이 충분하다.
실제로 은행 외부망을 통해 악성코드가 감염된 후에는 네트워크 연결이 끊어지더라도 제 기능을 실행하기 때문에 관련 정보를 모두 기록할 수 있다. 그런 다음, 다시 네트워크에 연결되면 PC를 통해 수행한 모든 작업의 기록 정보를 공격자에게 얼마든지 전송할 수 있다.
관련기사
- 못 미더운 금융권 보안...영업점은 구멍?2012.04.30
- 금융권, 보안 솔루션 도입만이 해결책?2012.04.30
- 금융권, 왜 NAC에 주목하나?2012.04.30
- 금융권, 지정된 CSO마저 교체?2012.04.30
관련 업계에 따르면, 대다수 공격자들이 다양한 시나리오를 만들어두고 연속 공격을 수행하도록 설계해놓는 경우가 많다. 이 때문에 당장 피해사실이 나타나지 않더라도 악성코드가 등장한 것만해도 경계를 늦춰서는 안된다는 설명이다.
이에 대해 한 금융권 관계자는 일단 어떤 과정을 통해 공격이 진행됐는지 정황 파악이 되지 않았지만 어떻게 악성코드에 감염됐는지 경로를 추적하는 것이 핵심이 될 것 같다고 말했다.