인터넷 뱅킹 악성파일이 시스템 파괴기능까지

인터넷 뱅킹 사용자들을 노린 변종 악성파일이 사용자의 PC 시스템을 파괴하는 기능까지 갖고 있는 형태로 발견되고 있다. 이에 잉카인터넷은 자사 보안경보단계 중 최고단계인 '위험'을 발령했다.

28일 잉카인터넷(대표 주영흠) ISARC 대응팀은 27일 23시경 시스템 파괴기능을 탑재한 인터넷 뱅킹용 악성파일 변종이 다수 발견됐다고 밝혔다.

이 회사에 따르면 새로 발견된 변종 악성파일은 시스템 하위 폴더에 윈도우에서 지원하지 않는 비정상적인 폴더를 생성해 일반 사용자가 쉽게 접근하지 못하도록 한다. 그 뒤 악성파일 제거 및 대응을 방해하며, 특정시점이 되면 시스템을 파괴하는 기능을 추가해 자신의 흔적을 제거하려는 시도를 한다.

또한 시스템 날짜가 2013년 01월 15일 이후(01월 16일부터)가 되면 C드라이브 루트폴더에 'fmatme.bat' 파일을 생성해 실행시켜 시스템 폴더의 중요 파일들을 삭제하는 기능도 갖고 있다. 잉카인터넷은 변종에 따라서 2012년 12월 04일, 12월 06일, 12월 17일, 12월 25일, 12월 26일 이후 파괴기능이 작동된 악성파일도 다수 확인된 상태라고 밝혔다. 이 회사는 이미 부팅이 안 되는 등의 피해를 입은 사용자가 있을 것으로 추정된다며 각별한 주의를 당부했다.

배치파일 명령이 작동되면 시스템 파일들이 다수 삭제돼 정상적인 부팅이 불가능해진다. 또한 시스템 파일이 손상돼 부팅이 정상적으로 진행되지 않을 경우, 보유하고 있는 윈도 운영체제(OS) 부팅 CD 나 복구CD 등을 이용해서 시스템 파일을 복원해야 정상적인 시스템 사용이 가능해진다.

해당 악성파일은 국내 유명 인터넷 뱅킹 사이트에 접속 시 정상적인 사이트와 동일한 화면이 보이지만 실제로는 피싱사이트의 IP주소로 접속돼 개인 금융정보 유출 시키는 기능도 갖고 있다.

잉카인터넷 ISARC 대응팀 문종현 팀장은 "국내 인터넷 뱅킹용(KRBanker) 악성파일 변종이 꾸준히 증가하고 있고, 기법도 점차 다변화되고 있는 추세"라며 "특히 최근 전자금융 피싱사이트들은 실제 인터넷 뱅킹 사이트 디자인을 그대로 모방해 제작되기 때문에 평상시 인터넷 화면만으로는 진위여부를 가리기 어렵다"고 밝혔다.