해외 유수의 인터넷 뱅킹 사이트를 공격 타겟으로 삼고 있는 일명 "제우스(Zeus)" 소스 코드의 무분별한 확산과 더불어 최근 국내 유명 금융권 해킹 사고가 잇따라 발생하면서 그 어느 때보다 금융 서비스 보안 강화 필요성에 대한 목소리가 높아지고 있다. 이러한 인터넷 금융 서비스의 각종 보안 위협과 불안감이 증폭되고 있는 시점에서 국내 유수의 인터넷 뱅킹 웹사이트 사용자들을 타겟으로한 전문화된 악성파일이 발견되어 국내에서도 금융거래 타겟 공격형 예금 유출 사고 발생 가능성이 우려되고 있으며, 앞으로 점차 지능화된 변형 공격의 등장도 가능할 것으로 예상된다.
국내외 주요 금융권 보안을 전문적으로 서비스하고 있는 잉카인터넷 시큐리티 대응센터/대응팀에서는 이번 악성파일이 언제부터 국내에 유입되었고, 어떠한 과정을 통해서 전파를 시도하고 있는지 지속적으로 모니터링을 진행 중이며, "다수의 변종을 확보하여 철저한 분석을 진행하고 있다". 더불어 대응팀이 자체적으로 보유하고 있는 악성파일 자동화 통합관리 시스템 등의 추적 조사를 진행한 결과 공식적으로 알려지지 않았던 것 뿐이지 "국내를 공격 타겟으로 한 것이 이미 예전부터 다양한 변종 형태로 존재했던 것으로 파악"되고 있고, 일부 샘플의 경우 "2010년 9월 초에 이미 국내에 실제 감염된 사례"가 있는 것을 확인한 상태이다. 또, 가장 최근 샘플의 경우는 2011년 5월 5일 경 해외에서 발견된 내용도 공식 확인하였는데, 국내에 전파시키는 과정 중에 보고된 것으로 예상된다. 현재는 2009년도에 발견된 것으로 의심되는 샘플을 감지하여 정밀 역학 조사를 진행 중에 있다.
■ 해외 인터넷 뱅킹 타겟용 악성파일 사례
제우스(Zeus) 소스 암호 해독 버전 트위터 통해 빠르게 전파 중
http://erteam.nprotect.com/156
[참고] 국내에서 발견된 이번 악성 파일(KRBanker 류)은 제우스(Zeus) 소스코드를 변형한 종류는 아니며, 새로운 형태의 인터넷 뱅킹 타겟용 악성 파일 종류 중 하나이다. 따라서 제우스 변형으로 표현하는 것은 다소 부적절하므로 착오가 없어야 한다.
금융결제와 관련한 피싱사례 발견 주의 필요
http://erteam.nprotect.com/127
영국은행 Lloyds TSB 에서 발송한 것으로 사칭한 악성 피싱 이메일 국내 발견
http://erteam.nprotect.com/58
■ Trojan-Spy/W32.KRBanker 전용백신 (금융감독원 버전)
☞ http://avs.nprotect.net/FreeAV/nProtectEAV_KRBanker.exe
■ 악성 파일 내부 코드에 존재하는 인터넷 뱅킹 관련 내용 중 일부를 재편집한 화면
01. 국민은행 (bank.kbstar.com)
02. 우리은행 (www.wooribank.com)
03. 외환은행 (www.keb.co.kr)
04. 기업은행 (www.ibk.co.kr)
05. 하나은행 (www.hanabank.com)
06. 신한은행 (www.shinhan.com)
07. 한국씨티은행 (www.citibank.co.kr)
08. SC제일은행 (www.scfirstbank.com)
09. 대구은행 (www.dgb.co.kr)
10. 경남은행 (www.knbank.co.kr)
11. 전북은행 (www.jbbank.co.kr)
12. 광주은행 (www.kjbank.com)
13. 부산은행 (www.busanbank.co.kr)
14. 제주은행 (banking.e-jejubank.com)
15. HK저축은행 (www.hksb.co.kr)
16. 농협 (banking.nonghyup.com)
17. 수협은행 (www.suhyup-bank.com)
18. 현대스위스저축은행 (www.hsb.co.kr)
19. 제일상호저축은행 (www.jeilbank.co.kr)
20. 새마을금고 (www.kfcc.co.kr)
21. 신협 (www.cu.co.kr)
22. 산업은행 (www.kdb.co.kr)
23. 우체국예금보험 (www.epostbank.go.kr)
24. 솔로몬저축은행 (www.solomonbank.com)
25. 상호저축은행 (www.seoulbanking.co.kr)
26. 토마토저축은행 (www.tomatobank.co.kr)
27. 푸른저축은행 (www.pureunbank.co.kr)
현재까지 잉카인터넷 대응팀에서 파악한 바에 의하면 해당 악성 파일은 인터넷뱅킹 사용자의 ▶공인 인증서(NPKI)파일과 비밀번호 ▶입금 계좌 비밀 번호 ▶보안 카드 비밀번호 ▶일회성 비밀번호(OTP) 등의 탈취 기능을 보유하거나 시도하고 있는 것을 확인할 수 있었으며, 이를 통해서 사용자의 개인 예금을 불법적으로 인출할 수 있는 위험성이 존재하며, 특히, 인터넷 뱅킹 이용시 사용되어지는 인증서 로그인 입력창을 화면 그대로 복제하여 허위로 출력하는 등 매우 지능화된 점을 꼽을 수 있다.
또한, 사용자의 컴퓨터상에 작동중인 일부 국산 백신 프로그램들에 대한 강제 종료 명령 등이 포함되어져 있고, 국내 인터넷 환경에 특화화되어 개발된 점 등을 확인할 수 있었다.
2. 악성코드 동작 시나리오
잉카인터넷 대응팀에서는 이와 같은 악성파일 감염 상태에서 인터넷 뱅킹 정보유출 과정을 실제 시나리오로 구성하여 단계별로 테스트를 진행하여 보았으며 그 결과를 다음과 같이 정리하여 보았다.
◎ 악성파일 동작 과정
해당 악성파일이 실행되면 몇 가지 작동 조건을 수행 후에 내부코드에 지정되어진 국내 은행과 관련된 인터넷 익스플로러 창이 활성화 되는 조건 등을 실시간 감지하게 되며, 각각의 은행별로 고유의 악의적 동작을 수행하도록 설계 되어져 있다. 이는 각각의 은행사가 다른 로그인 인증 방식 등을 통하여 인터넷 뱅킹 과정이 진행되기 때문에 이를 중점 고려하여 개별적으로 기능을 구현하여 제작되어진 것으로 확인되어 진다.
%SystemRoot%\folderlist.srg
%ProgramFiles%\Common Files\CommonDirs\runmode.dll
%SystemRoot%\system32\folderlist.srg
%SystemRoot%\help\iishelp\common\explorer.exe
%ProgramFiles%\Common Files\CommonDirs\winnet.exe
악성 파일의 실행 전제 조건이 성립되어 정상적으로 작동을 수행하게 되면 윈도우 폴더 하위 경로에 다음과 같은 폴더 등을 숨김 속성으로 생성하고, 다양한 조건에 따라 사용자의 컴퓨터 사용 내용을 감시하다.
"np" 라는 폴더명은 공인인증서를 의미하는 NPKI 폴더의 약자로 보여지며, 하위에 또 다른 폴더를 생성하여 사용자가 로컬 디스크나 이동형 디스크 등에 보관 중인 공인인증서 폴더를 통째로 복사하여 별도로 저장한 후 탈취를 시도한다.
.nls 확장자의 파일은 사용자의 컴퓨터 전체 화면을 시간별로 스크린 캡처하여 저장한 것이며, 조건에 따라 .dat 확장자로 저장되기도 한다. 악성 파일은 실시간 스크린 캡처 기능을 사용하여 사용자의 인터넷 뱅킹 사용 내역 등의 실제 화면을 저장하여 또 다른 목적으로 악용하고자 하는 것으로 보여진다.
아래 화면은 특정 인터넷 뱅킹 접속시 실시간으로 캡처된 .nls 파일의 화면이며, 마우스 포인터 화면도 함께 저장된다.
xcd 파일은 감염된 사용자의 컴퓨터에 존재하는 디스크 드라이브 명을 저장해 둔 텍스트 형식의 파일로, 공인인증서(NPKI)가 저장되는 폴더를 복사하기 위한 목적으로 사용될 수 있다.
f2nk14677.1171875 폴더에는 공인인증서(NPKI) 파일이 실제로 복사되어 저장되며, 사용자의 환경에 따라서 다른 이름으로 생성된다.
악성 파일에 감염된 사용자가 인터넷 뱅킹을 사용하기 위하여 인증서를 이용하여 특정 뱅킹 서비스에 정상적인 로그인을 하게 될 때 인증서 화면을 Screen Capture 하여 C:\Windows\Help\iishelp\common 폴더에 dllimage.bmp 라는 이미지 파일로 저장하게 된다.
저장된 dllImage.bmp 파일은 이후에 허위 공인인증서 로그인 화면 폼을 보여줄 때 배경화면으로 악용되게 된다.
이후 다음에 인터넷 뱅킹 로그인 절차가 진행되면 아래와 같은 가짜 오류 안내 화면창을 출력하여 사용자를 현혹시키며, 가짜로 만들어진 인증서 로그인 화면을 다시 한번 보여주고, 인증서 암호를 입력하도록 유도하고 탈취를 시도한다.
아래 오류창 화면은 신한은행 인터넷 뱅킹에서 실제 보안 모듈을 설치 할 때 보여주는 윈도우 창 화면과 동일하다.
인증서 선택 화면을 자세히 보면 인증서 암호 부분의 입력 영역이 파란색으로 재설정되어 있는 것을 알 수 있다. 악성 파일은 다양한 좌표 설정 기능을 이용하여 악의적 기능을 수행하고 있다. 가짜 인증서 로그인 창을 통해서 암호화되지 않는 영역의 사용자 암호 탈취를 시도하는 것이다.
다음으로 사용자의 예금 계좌의 비밀번호 등을 탈취하기 위하여 아래와 같이 가짜 암호 입력 확인 요구창을 출력하여 사용자로 하여금 다시 한번 중요 개인 정보를 입력하도록 유도하며, 아래 입력 화면은 환경 조건에 따라 일회성 비밀번호(OTP), 보안카드 번호 등을 요구하기도 한다.
C:\Windows\inf\d3dx9_94_x.inf 파일 등을 생성하여 은행명, 접속한 날짜와 시간, 비밀번호 등을 저장하여 탈취를 시도하기도 한다.
잉카인터넷이 특정 금융권 등을 통해서 사용자들에게 무료로 서비스 중인 nProtect Netizen 제품의 경우 일부 변종을 사전에 차단하고 있는 것을 확인하였고, 최근 또 다른 변종이 추가되어 2011년 5월 25일 변종을 긴급 업데이트에 추가한 상태이다.
아래 화면은 이번 국내 인터넷 뱅킹을 타겟으로 하고 있는 악성 파일을 각종 금융권에서 서비스 중인 nProtect Netizen 제품의 원천 방어 능력 테스트를 수행한 결과이다. 실제 악성 파일을 감염시킨 환경에서 인터넷 뱅킹 사이트를 이용하면 "실행 중인 악성 파일을 자동으로 완벽 탐지하고 치료"하는 것을 확인할 수 있었고, 지속적인 변종 업데이트를 진행 중에 있다. (현재 진단명은 새롭게 변경된 상태이다.)
3. 예방 조치 방법
위와 같은 금융 보안 위협은 각 금융 기관에서 공격 사례를 면밀히 검토하여 예방안을 수립하는 것이 중요하겠으며, 사용자 개개인도 기본적인 보안 수칙 등을 따르는 것이 무엇보다 필요하다. 특히, 인터넷 뱅킹의 브라우저 타이틀 등을 악용하고 있다는 점에서 인터넷 뱅킹 서비스 업체에서는 정기적으로 타이틀 창을 변경하거나 가변적으로 보이도록 적용한다면 이러한 방식의 공격에 예방 효과가 있을 것으로 기대된다.
개인 사용자의 경우는 휴대용 보안 카드 등을 편리하다는 이유만으로 이미지로 스캔하여 컴퓨터나 이메일 등에 저장하지 말아야 하며, 공인 인증서 파일의 경우도 가급적 외부 저장 매체에 저장하여 사용하는 노력이 필요하겠다. 더불어 사용할 암호는 예측하기 어렵도록 설정하고, 수시로 변경하는 것도 효과적이다.
현재 사회 전반적으로 일반 사용자의 경우 당장 편의를 위해 인터넷 뱅킹 등의 온라인 금융 거래를 이용할 수 밖에 없음으로 사회 전반적인 보안 위협 대응 방안이 마련되기 전까지는 아래의 보안 관리 수칙을 준수하여 최소한의 안전성 보장이 가능한 온라인 금융거래를 이용 할 수 있도록 하자.
1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화
2. 인터넷 뱅킹 사용시 제공받는 보안 유지 제품(키보드 보안, 온라인 무료 백신 등)을 최대한 활용
3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 유지해 사용하며, 실시간 감시 기능을 항상 "ON"상태로 유지해 2번 항목과 2중 보안 상태를 유지
4. 발신처가 불분명한 이메일에 대한 열람 및 첨부파일 다운로드 및 실행 자제
5. 인스턴스 메신저, SNS 등을 통한 링크 접속 주의
6. 공인 인증서(NPKI)는 USB 드라이브 등 이동형 저장 매체에 보관
7. 보안 카드는 타인에게 누출되지 않도록 주의하고 편의 목적으로 스캔한 이미지 등을 별도 보관해 두지 않는다.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래의 그림과 같은 진단/치료 기능을 제공하고 있으며, 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.
'최신 보안 동향' 카테고리의 다른 글
[주의]알약 제품으로 위장하여 유포되는 악성파일 (0) | 2011.07.15 |
---|---|
[주의]이메일 형태로 위장한 악성파일 유포 기승 (0) | 2011.05.31 |
v3lite 파일명으로 위장한 온라인 게임 계정 정보 유출 악성파일 발견, 주의 필요 (0) | 2011.05.17 |
오사마 빈 라덴 사망을 이용한 페이스북 악성 어플리케이션 및 악성파일 유포 주의 (0) | 2011.05.03 |
한글 이력서 내용으로 위장되어 유포 되어지는 악성 이메일 주의 (0) | 2011.05.02 |