우리나라 인터넷뱅킹 사용자를 노리는 파밍 악성코드가 성행하고 있는 가운데, 인기 SNS인 핀터레스트를 C&C로 사용하는 중국발 악성코드가 새롭게 등장해 사용자들의 주의가 요구된다.
트렌드마이크로는 18일 이와같은 내용을 담은 보고서를 발표하고 인터넷 뱅킹 사용자의 주의를 당부했다.
이 악성코드에 감염될 경우 인터넷뱅킹 사이트 접속시 자동으로 가짜 피싱 사이트로 연결되며, 연결된 가짜 사이트에는 ‘보안취약 고객 보안설정’을 위한 정보 입력을 요구하는 페이지가 나타난다. 사용자가 이를 정상적인 사이트라고 믿고 정보를 입력하면 개인정보가 유된다.
악성코드는 브라우저를 모니터링하고 있다가 국민은행, 우리은행, 농협은행, 하나은행, IBM, 신한은행 등 주요 금융기관과 금융감독원, 안랩 V3 클리닉 등의 사이트에 접속하면 위장된 가짜 사이트로 연결시킨다.
이 악성코드는 C&C 채널로 미국의 SNS인 핀터레스트를 사용한다는 점이다. 공격자는 핀터레스트 페이지에 메시지를 남김으로써 사용자가 각각 다른 가짜 서버로 연결되도록 컨트롤 할 수 있다.
트렌드마이크로의 조사에 따르면 악성코드는 해킹된 웹사이트를 방문하는 사용자에게 익스플로잇 킷을 설치하는 방식으로 유포되고 있으며, 11월 중순에 확인된 유포 방식에는 1개 이상의 해킹된 웹사이트가 사용된 것으로 알려졌다.
한 해킹된 웹사이트에는 다른 웹사이트로 이동시키는 아이프레임 태그가 삽입돼 있었고, 이동된 웹사이트에서는 인터넷뱅킹 악성코드를 포함한 익스플로잇 킷이 유포되고 있었다. 분석 결과 스윗오렌지 익스플로잇 킷에서 사용된 것과 유사한 코드가 상당 부분 발견되었으며, 12월부터는 해당 악성코드가 공다 익스플로잇 킷을 통해 유포되고 있는 것으로 밝혀졌다.
트렌드마이크로의 분석에 따르면 이 공격은 중국에서 시작된 것으로 파악된다. 취약점의 동작 방식을 설명하는 중국어 메모가 익스플로잇 코드에서 발견되었으며, 해킹된 웹사이트와 악성코드 통신 분석에 ‘51yes.com’이라는 중국의 웹 트래픽 통계 서비스가 사용된 점 등 여러 증거를 종합해 봤을 때 이는 중국발 공격이라고 유추해 볼 수 있다.
트렌드마이크로는 인터넷뱅킹 사용 시 보안 강화나 승급 등을 이유로 개인정보 입력을 요구하는 경우는 파밍이므로 가짜라는 것을 유념해 두어야 하며, 이러한 악성코드에 감염되지 않기 위해 컴퓨터를 최신 상태로 유지하고 백신 프로그램을 업데이트하는 등 보안에 각별한 주의가 필요하다고 전했다.
