애드웨어 악용 해킹, 인터넷뱅킹까지 노려

일반입력 :2014/01/07 08:33    수정: 2014/01/07 08:35

손경호 기자

#직장인 김 씨는 유투브에 올라온 소녀시대 뮤직비디오를 저장해 다시 볼 방법을 찾고 있었다. 네이버에 '유투브 동영상 다운로드 방법'이라고 쳐보니 블로그에 올라온 프로그램이 눈에 띄었다.

'TubeMate_1.05.24.159.apk'라는 파일이 있길래 다운로드받아 설치했다. 다운로드 전용 팝업창이 뜨길래 별 생각없이 '확인', '전송시작' 버튼만 클릭했다. 다음 날 XX은행에서 100만원이 나도 모르게 인출됐다. 혹시나 하는 마음에 백신회사에 물어보니 어제 설치한 프로그램이 화근이었을 줄이야...

악성코드를 유포하는 수법이 더 교묘해졌다. 최근에는 정상 프로그램으로 분류되는 애드웨어용 파일을 활용하거나 애드웨어 서버를 해킹해 메모리뱅킹, 개인정보 유출 등을 노린 악성파일을 설치하는 수준으로 진화했다.

애드웨어는 설치하면 팝업창 등을 통해 광고를 보여주는 프로그램이다. 웹하드 다운로더나 블로그에 올라온 유틸리티를 설치할 때 사용자가 유심히 확인하지 않으면 추가로 설치되는 경우도 흔하다.

애드웨어 자체도 사용자들에게 불편함을 초래할 수 있다는 점에서 문제가 돼왔다. 그러나 최근에는 보안이 허술한 애드웨어용 서버를 해킹해 애드웨어를 설치한 사용자들에게 악성파일을 설치하도록 유도하거나 유틸리티를 위장해 악성코드를 설치하는 애드웨어를 깔도록 유인하는 등의 수법이 나오는 상황이다.

6일 잉카인터넷 대응팀 문종현 팀장에 따르면 기존 해커들은 피싱, 파밍 등을 위해 악성 사이트를 만들어 놓고 이곳에 방문하는 사용자들을 대상으로 '드라이브 바이 다운로드', '워터링홀' 등 수법을 동원해 악성파일을 설치해 왔다. 이 같은 수법은 기본적인 백신을 구동하거나 보안툴을 실행하는 PC에서는 손쉽게 악성여부가 감지된다. 보안회사들도 대응이 빠른 편이다.

반면 최근 등장하고 있는 애드웨어를 악용한 수법은 보안회사들이 모니터링 하기에 상당히 까다로운 부분이 많다. 문 팀장은 애드웨어와 함께 설치되는 파일항목들을 모두 모니터링해야하고, 언제 어떤 애드웨어를 악용해 공격이 수행될지 알 수 없는 실정이라고 밝혔다.

공격자들이 마음만 먹으면 손쉽게 치고 빠지기식으로 악용할 수 있다는 것이다.

더구나 앞서 김 씨 사례에서 보듯이 설치되는 항목을 유심히 보지 않을 경우 애드웨어가 설치될 가능성이 높다. 해커는 애드웨어가 접속해 광고 콘텐츠를 다운로드 하는 전용 서버를 해킹해 광고와 함께 악성파일이 설치되도록 유도하는 지능적인 수법을 쓰고 있는 실정이다.

잉카인터넷 대응팀이 분석한 내용에 따르면 애드웨어 모듈을 악용한 악성파일은 지난해 초 인터넷 상품권, 도박게임, 온라인 게임계정, 아이템 등을 노렸으며 'kakubi.dll'이라는 파일명을 주로 사용했다. 같은 해 중순 부터는 'kakutk.dll'라는 파일명이 사용되기 시작해 하순에는 PC내 시스템에 존재하는 정상적인 'version.dll' 시스템 파일을 악성파일로 교체, 파일명이 유사한 'verslon.dll'이라는 이름의 악성파일을 생성하고, 정상파일은 'vorsion.dll'라는 이름으로 바꾸는 기법이 등장하기도 했다.

최근에는 'version.dll' 파일과 'godlion.dll' 파일명으로 된 악성파일이 생성되는 등 공격 수법이 진화를 거듭하고 있다.

지난해 등장한 메모리해킹은 인터넷뱅킹 사용자들에게 보안카드 오류라는 메시지를 보여주는 대신 몰래 해커가 만든 계좌로 자금을 이체하는 신종 해킹 수법이다.

관련기사

애드웨어를 악용해 유포되고 있는 악성코드는 메모리해킹 뿐만 아니라 파밍 수법에 흔히 쓰였던 것처럼 보안카드 전체 번호를 물어보는 등의 방법을 쓰고 있다.

문 팀장은 기존 어도비 리더, 플래시 플레이어, 자바 등 웹 취약점을 악용한 공격 수법은 대부분 보안회사들이 대응하고 있지만 애드웨어를 악용한 수법은 모니터링을 회피하면서도 기존에 애드웨어를 설치한 사용자들을 노린다는 점에서 위험성이 높다고 말했다.