안랩, 금융 정보 탈취 악성코드 '시타델' 경고

일반입력 :2012/12/24 14:06

손경호 기자

세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드 '제우스'와 '스파이아이'의 뒤를 잇는 강력한 악성코드가 발견됐다. 

안랩(대표 김홍선)은 24일 강력한 기능의 금융정보 탈취형 악성코드 '시타델'에 대한 분석 결과를 발표하고 PC사용자들에게 주의를 당부했다.

안랩에 따르면 시타델은 '시타델 빌더'라 불리는 악성코드 생성기로 만들어졌으며, 과거 제우스와 작동 방식이 유사하다. 시타델은 현재 제우스가 더 이상 업데이트 되지 않고 소스코드까지 공개된 시점에서 새롭게 등장한 악성코드다.

안랩의 분석에 따르면 시타델의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 악성코드에 감염된 PC의 네트워크인 봇넷을 구성하는 기능을 기본으로 ▲사용자의 인터넷 뱅킹 정보 ▲웹 브라우저 내 저장 정보 ▲소셜네트워크서비스(SNS) 내 개인정보 등 다양한 데이터를 탈취한다. 

또한 공격자용 서버인 C&C 서버로부터 허위백신 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다. 허위백신은 사용자의 PC를 사용하지 못하게 만들거나 허위로 악성코드에 감염됐다는 정보를 PC에 보여주는 방법으로 사용자들을 현혹한 뒤 이를 해결하기 위해 직접 송금을 강요한다.

시타델은 정보 탈취 기능이 제우스에 비해 강화됐다. 제우스는 뱅킹 인증 정보를 훔치기에 앞서 운영체제(OS) 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염된 PC의 기본 정보만 모아 공격자에게 전송한다.

반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함돼 지능형지속가능위협(APT) 까지 고려한 정보수집을 시도한다. 예를들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보는 물론 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.

심지어 이 악성코드는 '시타델 스토어'라는 곳에서 판매되고 있다. 악성코드를 생성하는 빌더와 관리자용 패널이 판매되고 있으며, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다.

관련기사

안랩 시큐리티대응센터 이호웅 센터장은 "이제 악성코드는 대부분 금전적인 목적으로 제작되고 있다고 해도 과언이 아니다"라며 "특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다"고 밝혔다.

이 센터장은 또한 "사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하고, 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수"라고 말했다.