인터넷 뱅킹 사용자의 금품을 노리는 파밍 악성코드가 더욱 정교한 방법으로 진화하고 있다. 기존의 방어 솔루션을 우회하는 최신 공격툴 ‘스위트 오렌지 키트’를 활용한 파밍 악성코드가 극성을 부리고 있는 것이다.
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 국내 인터넷 뱅킹 서비스에 대한 파밍 공격에 이용되는 악성코드 공격 방식에 변화가 일어나고 있다고 밝혔다.
‘파밍’은 공격자가 가짜 인터넷 뱅킹 사이트를 만들어 놓고, 정상적인 은행 고객을 가짜 사이트로 유도해 고객으로부터 인터넷 뱅킹 관련 인증 정보를 탈취해 고객의 돈을 훔쳐가는 대표적인 인터넷 뱅킹 서비스의 공격 방식이다.
이번 악성코드는 접속만 해도 사용자가 인지하지 못하는 사이 악성코드가 설치되는 드라이브 바이 다운로드 방식으로 국내에서 많이 이용되는 스위트 오렌지 키트로 유포되고 있는 것으로 확인했다.
지금까지 파밍 악성코드는 호스트파일을 변조해 가짜 인터넷 뱅킹 사이트로 유도하는 방식이었으나 SCH사이버보안연구센터가 발견한 악성코드는 DNS의 정보를 가지고 실행되고 있는 svchost.exe 프로세스의 dnsapi.dll에 메모리를 변조하여 DNS정보 참조 위치를 바꾸어 가짜 인터넷 뱅킹 사이트로 연결을 유도하는 방식으로 변했다.
사용자가 URL을 요청하게 되면 서비스가 svchost 프로세스를 이용해 호스트파일을 참조하여 주소를 가져오게 되는데 이번 악성코드에 감염되면 실행 중인 svchost 프로세스의 메모리를 변조하여 호스트파일을 참조하는 경로를 악성코드가 생성한 가짜 주소파일을 참조하게 되어 가짜 주소로 이동하게 된다.
김동석 SCH 연구원은“최근 밝혀진 파밍 공격방식의 변화는 악성코드 탐지에 있어 공격자가 호스트파일의 위변조가 검출되지 않도록 만든 기법”이라며 “사용자들은 이러한 공격에 대비해 항상 백신 업데이트를 최신버젼으로 유지하는 것이 중요하다”고 강조했다.
