[쿠키 IT] KBS와 MBC, YTN, 신한은행·농협 등 주요 방송사와 금융업체에 대한 대규모 해킹이 이뤄진 ‘3·20 전산 대란’이 벌어진 가운데, 하루 전날 국내 다른 주요 시중은행 사용자들을 노린 중국발 해킹 공격 시도가 있었다는 보안업체의 분석이 나왔다.
여기서 제기된 해킹 공격은 사용자의 PC를 악성코드에 감염시킨 뒤 금융거래를 할 때 위조 사이트로 유도, 거래 개인정보를 탈취 후 계좌의 돈을 인출해가는 ‘파밍(pharming)’ 수법이라는 설명이다.
체코 기반의 다국적 보안업체인 어베스트는 지난 19일 자사 공식 블로그에서 최근 한국소프트웨어저작권협회의 공식 홈페이지를 경유해 다수의 국내 은행들 고객을 노린 해킹 시도가 발견됐다고 전했다. 이 업체가 밝힌 파밍 대상 주요 리스트는 신한은행과 농협, 국내 최대 은행인 국민은행 외에 기업·하나·우리 등 총 6개 은행이다.
어베스트에 따르면 이번 해킹 시도는 한국소프트웨어저작권협회 사이트에서 2개의 자바스크립트 코드를 포함시키는 것으로 시작된다. 이들 스크립트를 열면 사용자를 메인 공격 사이트 ‘rootadmina2012.com’으로 유도하게 된다.
이같은 과정을 거쳐 국민은행의 경우 정상 PC라면 ‘www.kbstar.com(위 이미지)’으로 접속되지만 해킹된 PC에서는 호스트(hosts) 파일이 해킹돼 암호화되지 않은 해킹 사이트(아래 이미지)로 리디렉션하게 되는 것이다.
결국 사용자는 정상적으로 은행의 인터넷 뱅킹 사이트에 접속하더라도 정상 사이트와 매우 흡사하게 꾸며진 위조 사이트로 강제 이동되고, 여기서 보안 강화 등의 메시지를 통해 거래 정보를 입력하도록 유도해 궁극적으로 계좌 인출 피해까지 당할 수 있는 것이다.
어베스트는 위조 사이트가 일본에 서버를 두고 있는 것으로 보이지만, 해킹 공격 자체는 일본이 아닌 중국에서 이뤄진 것으로 추정했다. 해킹을 위한 파일 이름이 tongji(통계), tong(연결), pao(실행) 등 중국어로 이뤄졌으며 최종 공격 위치도 중국이었다는 점 등이 이유다.
어베스트는 “최근 파밍이라는 용어가 인터넷뱅킹에서 엄청난 위협이 된다고 언론 등에서 집중 조명돼 많이들 알고 있는 단어가 되긴 했지만, 이합법적인 웹사이트를 해킹해 PC를 감염시키기 때문에 사용자의 주의가 극도로 필요하다”고 조언했다.
어베스트는 현재는 한국소프트웨어저작권협회 홈페이지에서 문제의 스크립트가 제거된 상태라고 전했다.
국민일보 쿠키뉴스 김현섭 기자 afero@kmib.co.kr 트위터 @noonker