인터넷뱅킹 공격하는 '파밍' 방식 변화 생겼다

2014-11-17 17:13
  • 글자크기 설정
아주경제 장윤정 기자= 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 국내 인터넷 뱅킹 서비스에 대한 파밍 공격에 이용되는 악성코드 공격 방식에 변화가 일어나고 있다고 밝혔다.

‘파밍 공격’은 공격자가 가짜 인터넷 뱅킹 사이트를 만들어 놓고, 정상적인 은행 고객을 가짜 사이트로 유도해 고객으로부터 인터넷 뱅킹 관련 인증 정보를 탈취해 고객의 돈을 훔쳐가는 대표적인 인터넷 뱅킹 서비스의 공격 방식이다.

이번 악성코드는 접속만 해도 사용자가 인지하지 못하는 사이 악성코드가 설치되는 드라이브 바이 다운로드(Drive-by Download) 방식으로, 국내에서 많이 이용되는 스위트오렌지킷(Sweet-Orange Exploit Kit)으로 유포되고 있는 것으로 확인했다.

지금까지 파밍 악성코드는 호스트파일을 변조하여 가짜 인터넷 뱅킹 사이트로 유도하는 방식이었으나 이번에 SCH사이버보안연구센터가 발견한 악성코드는 DNS의 정보를 가지고 실행되고 있는 svchost.exe 프로세스의 dnsapi.dll에 메모리를 변조,  DNS 정보 참조 위치를 바꿔 가짜 인터넷 뱅킹 사이트로 연결을 유도하는 방식으로 변했다.

사용자가 URL을 요청하게 되면 서비스가 svchost 프로세스를 이용해 호스트파일을 참조하여 주소를 가져오게 되는데, 이 악성코드에 감염되면 실행 중인 svchost 프로세스의 메모리를 변조하여 호스트파일을 참조하는 경로를 악성코드가 생성한 가짜 주소파일을 참조하게 되어 가짜 주소로 이동하게 된다.

김동석 연구원은“최근 밝혀진 파밍 공격방식의 변화는 악성코드 탐지에 있어 공격자가 호스트파일의 위변조가 검출되지 않도록 만든 기법”라며 “사용자들은 이러한 공격에 대비해 항상 백신 업데이트를 최신버전으로 유지하는 것이 중요하다”라고 강조했다.
 

DNS변조 방식[사진 = 순천향대]


※ svchost.exe : svchost.exe는 Windows(윈도우)에서 다양한 기능을 수행하는 데 사용하는 기타 개별 서비스를 호스팅하거나 포함하는 컴퓨터의 프로세스이다.(http://windows.microsoft.com/ko-kr/windows/what-is-svchost-exe#1TC=windows-7)
※ dnsapi.dll: Windows 운영 시스템을 위해 Microsoft에서 개발한 DLL 파일이다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기