제1금융권 노린 해킹 수법 '갈수록 지능화'

일반입력 :2012/12/03 09:11    수정: 2012/12/03 11:57

손경호 기자

제1금융권을 노린 해킹 수법이 지능화되고 있다. 과거에 사용됐던 공격방식이 재사용되는가 하면, 사용자의 심리를 이용하는 등 기법이 함께 사용되고 있어 사용자들이 보다 세심하게 주의를 기울여야 하는 상황이다.

최근에는 서로 다른 은행의 홈페이지에 접속하더라도 하나의 금융 피싱용 IP주소로 접속되는 해킹수법이 다시 유행하고 있다. 수년 전부터 등장하기 시작한 일명 '파밍' 기법이 주 공격방식으로 재사용되고 있는 것이다. 해커들이 문자메시지(SMS)를 이용해 피싱사이트로 접속을 유도하는 해킹 수법이 정부기관, 침해사고대응팀(CERT)의 차단조치로 성공률이 떨어지자 이에 대응해 고안해 낸 방식이다.

잉카인터넷 ISARC대응팀은 어도비 업데이트 파일(adobe_update.exe)을 위장해 악성코드를 설치한 뒤 서로 다른 은행 홈페이지 주소(URL)에 접속하더라도 같은 피싱사이트에 연결되도록 하는 수법이 발견됐다고 얼마 전 자사 블로그를 통해 밝혔다.

어도비 업데이트 파일은 압축파일 자동압축해제 기능(SFX)을 이용한 EXE실행파일 형태로 제작됐다. 이를 실행하면 윈도 임시폴더(TEMP)에 'IPCONFIG.INI'라는 파일이 함께 설치된다. 이 악성파일에 감염된 PC는 정상적인 국내 인터넷 뱅킹 사이트에 접속해도 특정 피싱 사이트로 연결된다.

이 악성파일이 공격대상으로 삼고 있는 것은 국내 주요 은행 대부분으로 하나은행, 국민은행, 우리은행, 새마을금고, 신한은행, 기업은행, 농협 등이 포함됐다.

이에 더해 해커들은 '보안승급', '보안강화' 등을 요청하는 팝업창을 띄운 뒤 링크를 클릭하면 피싱사이트로 연결되는 방식도 많이 알려져 성공률이 떨어지자 '전자금융사기 예방서비스'라는 이름으로 사용자의 주민등록번호, 보안카드 번호 등을 입력하도록 유도하는 방식을 사용하고 있다.피싱사이트의 IP주소는 '210.209.119.183'으로 연결되면 사용자의 PC에 있는 공인인증서(NPKI) 정보 탈취도 진행하는 것으로 잉카인터넷은 확인했다. 현재 이 IP주소는 접속이 불가능한 상태이나 변종악성파일에 따라 주소는 지속적으로 변경되고 있는 것으로 나타났다.

잉카인터넷 ISARC대응팀 문종현 팀장은 은행 홈페이지에 접속해도 별도의 IP주소로 접속되는 '파밍' 수법이 꾸준히 발견되고 있다며 최근에는 중국 등지에서 아예 해킹툴 제작프로그램을 제공하는 대행서비스까지 나오고 있다고 밝혔다.

관련기사

통상 피싱사이트는 웹브라우저 주소창에 표시되는 URL에 보안접속(SSL) 기능이 적용되지 않는다. 은행 사이트 주소가 이 같은 보안기능이 적용된 'https://'가 아니라 'http://'으로 표시되면 피싱이나 파밍 등의 전자금융사기를 의심해봐야 한다.

문 팀장은 지난 6월, 7월부터 등장하기 시작한 인터넷 뱅킹 사기가 내년까지도 새로운 변종형태로 등장할 가능성이 높아 사용자들이 보다 세심하게 주의를 기울여야할 것이라고 밝혔다.