국민은행과 농협 사이트를 위장해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등을 입력하도록 유도하는 피싱 사이트가 신고 접수된 것. 1월 19일 발견된 이 2개의 피싱 사이트는 대만에 위치하고 있으며, 사용자들이 무심코 금융정보를 입력할 경우 공격자에게 이 정보가 유출될 수 있다.
특히, 이들은 이메일을 통해 피싱사이트 접속을 유도하는 기존의 방법이 아니라, 인터넷 브라우저를 통해 은행 사이트를 직접 입력하더라도 위장 사이트로 접속되게 해 많은 피해가 우려된다. 사용자 PC를 해킹한 후 PC 내부의 인터넷 주소를 저장하는 파일(hosts 파일)의 내용을 변경하는 방법을 통해 주소 직접 입력 시에도 위장 사이트로 접속되게 한 것. 인터넷뱅킹 사용자들은 PC의 hosts 파일에서 금융회사가 특정 IP 주소로 설정돼 있을 경우 해당 설정 부분을 제거하고 보안패치를 수행해야 한다.
안철수연구소는 ‘뱅키.101376(Banki.101376)’라는 트로이목마와 피싱이 결합된 사이트라고 분석했다. 위 트로이목마가 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열리게 되는 것이다. 뱅키.101376 트로이목마는 hosts 파일 변경 외에도 특정 온라인 게임 로그인 계정이나 인터넷 뱅킹용 인증서 관련 파일을 가로채 특정 인터넷 주소로 빼내는 기능을 갖고 있다.
안철수연구소 강은성 상무는 “이번 피싱은 트로이목마와 결합된 첫 사례라는 점에서 주목할 만하다”면서 “악성코드와 피싱이 결합된 사례가 등장한 만큼 앞으로 금전적 이득을 노린 더 지능적인 수법이 나올 것으로 전망돼 더욱 주의가 필요하다”고 언급했다.
KISA는 신고 접수 후 즉시 국내 ISP 등을 통해 대만에 위치한 피싱사이트로의 접속을 차단시키고, 대만 침해사고대응팀에 해당 사이트에 대한 조치 및 추가 정보제공을 요청한 상태다. 또한 KISA는 피싱 사고 예방을 위해 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을 사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지 않도록 당부했다. <오현식 기자>
