인터넷뱅킹 ‘경계령’ …금융사 특화 악성파일 ‘유포중’

2013-07-22 06:00

금융감독원은 피싱, 파밍 등 불법적인 방법에 의한 사용자들의 피해를 막을 방법들을 공개, 주의를 당부했다
아주경제 장윤정 기자= # 회사원 김모씨는 자주 사용하는 K은행 인터넷사이트로 접속, 평소처럼 인터넷뱅킹을 이용하려다 이상한 점을 발견했다. 김씨가 보안카드 번호를 입력했지만 PC에서 오류창이 뜨면서 보안카드 번호를 계속 다시 입력하라고 요구했다. 인터넷 접속 상의 문제인줄 안 김씨는 10여회 가량 보안카드 번호를 연속 입력했고 잠시 후 통장에서 제 3자에 의해 500여만원이 인출된 사실을 알았다.

# 자영업자 안모씨는 N은행 인터넷사이트에서 인터넷뱅킹을 이용하다 1000만원이 인출된 사실을 뒤늦게 알았다. 안모씨는 사업 상 통장에 거액의 돈이 입금될 때도 있고 한푼도 없을 때도 있다. 누군가 안씨의 통장에서 거래대금 1000여만원이 입금되자 바로 이 돈을 인출해 간 것이다. 안모씨는 며칠전 N은행 보안등급을 강화하라는 지시에 따라 통장 비밀번호와 보안카드 번호 등을 입력했던 사실이 떠올랐다. 하지만 입력 당시 안모씨 통장 잔고는 비어있었다.

국내 인터넷뱅킹 사용자들의 자산을 위협하는 공격이 갈수록 진화하고 있다.

22일 잉카인터넷은 국내 인터넷뱅킹 금융사별로 특화된 악성파일이 정교하게 제작, 유포중이라고 발표했다. 또 이 회사는 예금이 적을 경우 이용자 예금을 실시간으로 자동 조회해 입금이 이뤄질 경우 바로 불법이체를 시도하는 지능화된 공격 징후도 발견됐다고 밝혔다.

잉카인터넷은 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라며 국내 금융사별 특화된 악성코드를 활용한 피싱사이트에 주의하라고 경고했다
잉카인터넷에 따르면 국내 은행사에 맞춘 악성파일이 대량 유포중이다.

금융보안 솔루션 중에 하나인 ‘제큐어웹(XecureWeb)’ 설치폴더에 존재하는 ‘XecureAcPKCS8.dll’ 파일이 메모리 상에 맵핑되면 ‘XecureMacuxCSM.dll’ 파일을 메모리에서 찾아 코드를 수정(Patch)한다. 코드수정을 통해서 npdelfinoplugin.dll 파일의 특정코드가 실행 불가 상태로 변경되면 악성파일은 키보드 입력 값을 가로채어 외부로 유출을 시도한다. 제큐어웹은 소프트포럼이 국내 다수 은행에 납품한 금융보안솔루션으로 이미 이 솔루션의 취약성이 지난 3월 20일 발생한 방송국과 금융권 해킹의 경로가 된 것으로 밝혀진 바 있다.

‘muimsg.dll.mui’ 이름의 악성파일은 외환은행 등 국내 금융권에서 사용 중인 금융보안 솔루션 중에 하나인 ‘Wizvera’ 설치 폴더에서 강제로 메모리 값을 수정, 키보드 입력값을 외부로 유출하는 기능을 수행한다.

아울러 금융보안 솔루션인 키보드보안 프로그램 중에 하나인 소프트캠프(SoftCamp) 솔루션이나 라온시큐어(RAONSECURE) 솔루션의 경우 악성코드가 메모리 값을 수정, 보안기능이 동작하기 전에 악성파일이 동작하도록 구성된 사례도 발견됐다.

앞서 언급한 회사들의 보안솔루션에 문제가 있는 것이 아니라, 악성코드가 정상적인 금융보안솔루션의 작동을 방해하거나 미리 만들어둔 가짜 인터넷사이트로 유도해 금융자산 탈취를 시도하는 것이다.

문종현 잉카인터넷 팀장은 “최근 공격기법이 금융 보안모듈을 직접적으로 겨냥, 보안기능 무력화를 시도하는 등 매우 과감해지고, 기술적으로도 지능화, 정교화되고 있는 추세”라며 “악성파일에 의해서 코드가 조작되면 금융정보 수집 목적의 허위 보안정보 입력화면을 띄워 사용자로 하여금 금융정보를 입력하도록 현혹시킬 수 있다”고 경고했다.

또 문 팀장은 “특히 해킹한 계좌에 예금이 적을 경우 이용자 예금을 실시간으로 자동 조회해 입금이 이루어질 경우 바로 불법이체를 시도하려는 지능화된 공격징후도 발견됐다”며 사용자들의 각별한 주의를 당부했다.

이같은 금융사별 악성코드에 대응하기 위해서는 지금 접속해있는 금융사이트가 정상적인 사이트인지 재차 확인하고 보안카드 번호를 전부 입력하라거나 오류창이 떠 보안카드번호를 여러번 입력해야하는 등 비정상적인 상황이 발생되면 전부 의심해 봐야한다.

금융감독원은 “어떠한 경우에도 금융사에서 보안관련 인증절차를 수행한다며 직접 계좌 비밀번호를 입력하라거나 보안카드 번호 전부를 입력하게 하는 경우는 없다”며 “보안카드 전부를 입력하라고 하면 100% 가짜, 여러 번 오류창을 발생시켜 보안카드 번호를 다수 입력해야하는 경우도 해당 금융사에 연락해 확인 후 사용하는 것이 좋다”고 밝혔다.

지난 2006년부터 2013년 5월까지 경찰청에 신고·집계된 피싱 사기로 인한 피해 규모는 4380억원에 이르며, 지속적으로 증가하는 추세다. 지난 11일에는 파밍수법으로 수천명의 계좌에서 불법 이체된 22억원을 부당하게 인출한 혐의로 중국 파밍 사기단 국내 인출책 김모씨 등 일당이 경찰에 검거된 바 있다.

<금융사별 맞춤 악성코드 공격 개요도>

1. 사용자 PC의 다양한 보안취약점으로 악성코드가 침투, PC에 악성코드 설치
2. 악성코드 형태에 따라 국민, 신한, 기업, 농협 등 국내 각 금융사별로 특화된 공격 시도
3. 금융 보안솔루션 무력화 또는 악성코드에 의해 가짜 금융사이트로 이동
4. 금융자산 공격, 탈취 시도
5. 수집한 정보 이용해 예금 인출