[긴급]hosts 파일을 사용하지 않는 국내 인터넷뱅킹용 악성파일 등장

1. 개요

국내 인터넷뱅킹 이용자들을 겨냥한 악성파일이 기존보다 한단계 진일보한 형태로 다변화를 시도하고 있다. 이번에 새롭게 발견된 형태는 최근까지 악용되고 있는 호스트(hosts)파일 조작기법을 사용하지 않고, 독립적으로 악성파일 자체가 은행사이트의 도메인을 감지하여 조작된 가짜 은행(피싱)사이트로 연결을 시도하는 수법을 사용하고있다. 따라서 악성파일에 감염된 사용자가 정상적인 인터넷뱅킹 사이트에 접속을 하여도 조작된 가짜 도메인으로 접속을 가로채기 때문에 도메인 주소를 유심히 살펴보지 않을 경우 조작된 웹 사이트에 현혹되어, 예기치 못한 피해를 입을 수 있다. 사이버 범죄자들이 국내 인터넷뱅킹 사이트를 모방하여 만든 피싱사이트에는 실제로는 존재하지 않는 일명 [보안승급서비스]라는 이름으로 금융거래시에 반드시 보호되어야 하는 주요 금융정보를 거의 모두 입력하게끔 유도하고, 수집된 자료는 사용자 모르게 외부로 유출하여 불법적인 예금인출 시도를 하게 된다.

실제 금융사이트 도메인과 유사하게 모방한 이 수법은 금융사기 범죄자들이 초기에 사용했던 스마트폰 문자피싱의 허위 [보안승급서비스] 유도와 동일한 방식이다.

[자료]신종 금융정보 탈취 기법 주의보
☞ http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120823112056

---

나날이 시중 인터넷뱅킹용 악성파일이 증가하고 있어 금융 사이버 범죄자들의 활동 반경이 점차 넓어지고 있는 것으로 추정되며, 금융고객의 예금인출 피해사고로 연결되지 않을까라는 우려의 목소리가 커지고 있는 상황이다. 잉카인터넷 대응팀은 금융사기용 악성파일에 대한 전방위적 모니터링과 함께 신속한 대응체계를 유지하고 있다.

2. 악성파일 정보

[긴급]한국내 금융권 예금탈취 목적의 악성파일 위협 가중
☞ http://erteam.nprotect.com/324

[긴급]국내 인터넷뱅킹 악성파일 새로운 은행 표적추가
☞ http://erteam.nprotect.com/320

[긴급]국내 인터넷뱅킹 악성파일, Google Code 호스팅을 통한 우회 유포 시도
☞ http://erteam.nprotect.com/313

[주의]인터넷뱅킹 보안승급서비스 사칭한 스마트폰 문자피싱
☞ http://erteam.nprotect.com/258

[주의]국내 인터넷 뱅킹 사용자를 노리는 악성파일 공식 발견
☞ http://erteam.nprotect.com/160

호스트(hosts)파일을 변조하여 국내 금융권의 이용자들을 표적으로 제작된 악성파일 변종이 거의 매일 새롭게 발견되고 있는 가운데, 호스트파일을 사용하지 않고 독립적인 악성파일 자체 기능으로 사용자의 접속 도메인을 감시하고 있다가 정상적인 인터넷뱅킹 웹 사이트에 접속시 피싱사이트로 접속을 변경하는 신종기법이다.

참고로 아래는 2012년 08월 23일 국내에 유포된 인터넷뱅킹 악성파일에 의해서 조작된 호스트(hosts)파일 화면이다.

다시 본론으로 돌아와 호스트(hosts)파일을 사용하지 않는 방식으로 새롭게 발견된 악성파일은 아래 화면과 같이 내부 코드가 모두 중국어로 제작되어 있다.

 국내 특정 인터넷뱅킹 사이트 1곳을 표적으로 삼고 있는데, 앞으로 다양하게 추가될 가능성이 높다.

악성파일에 감염된 상태에서 정상 인터넷뱅킹 사이트에 접속할 경우 미국과 중국의 특정 호스트로 접속을 시도하는 것을 확인할 수 있다. 

더불어 다음과 같이 가짜 도메인으로 연결된다. 아래 사이트는 실제 금융사 홈페이지처럼 교묘하게 조작된 가짜 사이트이며, 실제 금융사 사이트를 모방해서 제작했기 때문에 매우 흡사하므로 유심하게 살펴보지 않을 경우 정상 사이트로 오해할 소지가 많다.

도메인도 kbstrr.com 으로 실제 국민은행 도메인인 kbstar.com 을 모방한 것을 확인할 수 있다.

실제로는 존재하지 않는 [보안강화 서비스 신청하기]라는 팝업창이 출력되어 사용자로 하여금 클릭을 유도한다. 보안강화 서비스 신청하기 부분을 클릭하면 다음과 같이 국내 인터넷뱅킹용 악성파일이 사용하고 있는 보안승급서비스 화면을 보여준다.

가장 처음으로 이름(실명)과 주민등록번호 등을 입력하도록 유도한다. 모두 허위내용이므로 절대 입력해서는 안된다.

1차 개인정보를 입력하고 확인버튼을 클릭하면 세부적인 중요 금융정보 입력을 추가로 요구한다. 정상적인 인터넷뱅킹 사이트에서는 보안승급서비스나 보안강화서비스 명목으로 보안카드의 모든 암호를 입력하라고 요구하는 경우는 절대로 없으므로, 이와 유사한 경우를 목격할 경우 100% 악의적인 피싱사이트로 보아도 무방하다.

이렇게 입력되는 정보는 금융 사이버 범죄 조직들에게 유출되어 예금인출 시도로 연결될 수 있으므로, 절대로 개인 금융정보를 입력하여서는 안된다.

3. 마무리

잉카인터넷 대응팀은 국내 인터넷뱅킹 사용자를 표적으로 한 악성파일 제작자를 지속적으로 추적 감시하고 있으며, 변종을 제작 유포하는 시점에 즉각적으로 대응하는 시스템을 마련하고 있다.

새롭게 유포되는 변종들은 nProtect Anti-Virus 제품군에 신속하게 탐지 및 치료 기능을 포함하여 배포되고 있으므로, 사용자들은 항시 최신 버전으로 업데이트하고 실시간 감시 등을 활성화하여 이런 유사 악성파일에 노출되는 상황을 미연에 예방할 수 있도록 하는 노력이 필요하다. 또한, 웹 사이트를 통해서 유포되는 경우 각종 보안취약점을 이용하고 있으므로, 운영체제 및 주요 응용프로그램의 보안업데이트 및 최신버전 사용을 생활화하는 보안습관이 중요하다.

위와 같은 악성파일은 일반 사용자가 악성 여부를 판별하기가 매우 어렵기 때문에 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 노력이 무엇보다 중요하다고 할 수 있다.

※ 보안 관리 수칙

1. 윈도우와 같은 OS 및 각종 응용 프로그램의 최신 보안 패치 생활화.

2. 신뢰할 수 있는 보안업체의 백신을 설치 후 최신 엔진 및 패턴버전으로 업데이트해 실시간 감시 기능을 항상 "ON"상태로 유지하여 사용한다.

3. 출처가 불분명한 이메일에 대한 열람 및 첨부파일에 대한 다운로드/실행을 자제한다.

4. 인스턴트 메신저, SNS 등을 통해 접근이 가능한 링크 접속시 주의.

※ 잉카인터넷 대응팀에서는 위와 같은 악성파일을 포함한 각종 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

nProtect Anti-Virus/Spyware v3.0 제품에서는 다양한 변종 악성파일을 진단/치료하고 있다.

▣ AVS 3.0 무료 설치 : http://avs.nprotect.com/