글로벌 금전탈취수법, 악성코드 4종 활개

일반입력 :2013/02/19 11:33

손경호 기자

국내서 휴대폰 소액결제와 피싱, 파밍 등을 통한 인터넷 뱅킹 관련 해킹 사례가 급증하는 가운데 글로벌 시장에서도 4종의 악성코드가 활개를 치고 있는 것으로 나타났다.

미국 보안회사 포티넷은 지난해 4분기 동안 자사 악성코드 연구소인 포티가드랩을 통해 조사한 결과 금전탈취를 목적으로 4가지 악성코드가 급증하고 있다고 19일 밝혔다.

이는 어도비 플래시 업데이트, 백신프로그램을 위장해 악성코드를 유포하고, 비밀번호를 알아내는 한편, '제우스'라는 악명높은 트로이목마 악성코드를 유포해 은행으로부터 인증번호 등을 탈취하는 수법을 사용했다. 이밖에 사용자의 PC 데이터에 접속하지 못하도록 막은 뒤 이를 풀어주는 대가로 금전을 요구하는 랜섬웨어도 새로 발견됐다.

포티가드랩에 따르면 'Simda.B'라는 진단명을 사용하는 악성코드는 플래시 업데이트인 것처럼 사용자를 속여 모든 설치 약관에 동의하도록 유도한다. 일단 악성코드가 설치되면 사용자의 비밀번호가 유출되며, 이를 통해 사용자의 이메일, 소셜네트워킹서비스(SNS)에 로그인해 스팸이나 악성코드를 자동으로 유포하는 방법이 사용되고 있다. 여기서 탈취된 사용자 정보를 통해 온라인 결제 시스템을 통해 자동으로 사용자들의 돈을 탈취한다.

'FakeAlert.D'라는 악성코드는 백신프로그램을 위장해 PC화면 오른쪽 하단의 시스템 트레이에서 팝업창을 띄운 뒤 PC가 바이러스에 감염됐다는 경고를 띄운다. 이를 제거하기 위해서는 일정 금액을 지불해야한다는 메시지를 통해 사용자의 결제를 유도한다.

오랫동안 금융사기에 사용돼 온 악성 봇넷 '제우스'의 클라이언트 역할을 하는 봇넷 트로이목마 악성코드인 'Zbot.ANQ'도 새롭게 기승을 부리고 있다. 이 악성코드가 설치되면 사용자가 인터넷 뱅킹 사이트에 접속해 키보드로 입력하는 모든 정보가 탈취된다. 해커들은 이 정보를 이용해 사용자의 스마트폰에 또다른 악성코드가 설치되도록 유도한 뒤 결제용 인증번호 문자 등을 탈취해 사용자 통장에서 대포 통장으로 돈을 송금한다.

같은 기간 PC에 저장된 데이터를 인질삼아 금전을 요구하는 수법도 급증했다. 'Ransom.BE78'이라는 악성코드는 사용자의 PC를 부팅하지 못하게 하거나 이미 저장된 데이터를 암호화한 뒤 이를 해독하는 대가로 금품을 요구했다. 기존 악성코드가 사용자의 동의를 필요로 했다면 랜섬웨어는 몰래 대상의 PC에 잠입해 악성코드를 설치한 뒤 제거비용을 지불해야만 이를 풀어주도록 협박한다.

최원식 포티넷 코리아 사장은 금전 탈취를 위한 악성코드가 매년 진화하고 있으며, 최근에는 (랜섬웨어처럼) 단기간 수익을 내기 위해 돈을 요구하는 방식이 매우 노골적으로 변모했다고 밝혔다.

관련기사

이밖에도 포티가드랩은 안드로이드 스마트폰에서 사용자 동의없이 광고를 노출시키는 모바일 애드웨어 'Android/Plankton'이 빠르게 확산되고 있다고 설명했다. 이 애드웨어는 광고를 노출시키는 것뿐만 아니라 국제모바일기기식별코드(IMEI)를 통해 사용자의 위치를 추적하는 등의 기능까지 가졌다.

또한 보안취약점을 찾아내기 위해 웹서버에 대한 스캐닝 활동도 급증했다. 정치적인 목적으로 해킹을 활용하는 핵티비스트들이 주로 사용하는 'ZmEu'라는 스캐닝 툴이 서버의 통제권을 장악하기 위해 사용되고 있다. 이같은 활동은 지난해 9월 대비 12월에 9배가 증가했다고 포티가드랩은 밝혔다.