인터넷뱅킹 사용자 결제정보를 중간에서 가로채 공격자 계좌로 입금시키는 메모리 해킹용 변종 악성코드가 등장했다. 공격자들은 설 연휴 등 연말 특수를 노린 것으로 추정된다.
안랩(대표 권치중)은 지난해 7월에서 10월 사이에 발견된 '보안모듈 메모리 해킹 및 이체정보 변경 악성코드 변종'이 발견됐다며 주의를 당부했다.
메모리 해킹은 보안모듈의 메모리를 해킹 하는 점이 특징이다. 보안모듈이 제대로 작동하지 않도록 무력화 시킨 뒤 공인인증서 비밀번호, 입력한 보안카드 번호 등을 탈취한다. 그 뒤 거래가 정상적으로 이뤄지지 않도록 인터넷뱅킹을 강제 종료한 후 공격자가 탈취한 금융정보, 같은 보안카드 번호를 악용해 금전을 탈취한다.
이보다 진화된 수법은 메모리 해킹과 같은 수법으로 보안카드 외 정보를 가로챈 뒤 받는 사람의 계좌번호를 공격자 계좌번호로 몰래 바꾸는 것이다. 그 다음 사용자 계좌 잔액을 파악해 이체하는 금액을 몰래 수정한다. 이 과정에서 사용자가 입력하는 보안카드 정보는 공격자가 가로채지 않고 정상적으로 은행에 전송되기 때문에 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료돼 금융기관 입장에서 이상징후를 파악하기 어려운 문제가 생긴다.
새로 발견된 변종 악성코드는 앞서 말한 두 가지 수법을 악용하고 있으며 국내 주요 은행들을 공격한다. 코드 패턴을 일부 변경해 기존 백신을 우회하는 시도를 한다. 또한 윈도7 운영체제(OS) 이용자에 대한 금융정보 유출 기능도 포함됐다.
해당 악성코드는 감염된 PC에서 사용자가 악성코드에 미리 입력된 은행 사이트에 접속시 이를 감지해 동작한다.
변종 악성코드를 막기 위해서는 먼저 인터넷뱅킹을 자주 이용하는 사용자는 백신을 최신 상태로 유지하고 실시간 감시를 동작시켜야 한다.
관련기사
- 폰으로 홈피 접속만 해도 악성앱…신종 해킹2014.01.10
- 애드웨어 악용 해킹, 인터넷뱅킹까지 노려2014.01.10
- 야후 서버 해킹 수천명에 악성코드 유포2014.01.10
- 편리하고도 위험한...마이크로 SD카드의 두얼굴2014.01.10
또한 최초 악성코드 침입 자체를 막는 것도 중요하다. 이를 위해서는 믿을 수 없는 사이트 방문 자제, 수상한 이메일의 첨부파일, 소셜네트워크서비스(SNS), 이메일 등에 포함된 URL 실행 자제 등 기본 보안 수칙을 준수해야 한다.
이호웅 안랩 시큐리티대응센터장은 변종 악성코드는 금전거래가 많아지는 연말, 연초를 노린 것으로 추정되며, 앞으로 설 연휴를 앞두고 인터넷뱅킹이 활발하게 일어나는 특정 시기에 증가할 가능성이 높아 기본 보안수칙을 준수할 필요가 있다고 말했다.