추석 연휴를 앞두고 기존 ‘메모리해킹’ 방식에 새로운 수법을 더한 금전 유출 악성코드가 발견돼 인터넷뱅킹 사용자의 각별한 주의가 요구된다.
안랩은 지난 7월 발견된 ‘보안모듈의 메모리 해킹 악성코드’에서 더욱 진화한 형태의 금전 유출 시도 악성코드를 발견하고 분석결과를 17일 발표했다.
이번에 발견된 악성코드는 인터넷뱅킹 이용자의 금융정보를 유출하는 기존 방식에서 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다. 이른바 ‘슈퍼 메모리해킹’인 셈이다.
기존의 메모리해킹 방식은 사용자가 거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)한다. 이후 정상 작동 과정에서 보안모듈을 무력화한 후 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취한다.
이어 거래가 정상적으로 이뤄지지 않도록 강제로 인터넷뱅킹을 종료한 후 탈취한 금융정보와 동일한 보안카드 번호를 이용해 금전을 탈취한다. 이 때 거래가 성사되지 않은 인터넷뱅킹 건은 은행에서 동일한 보안카드 번호를 요청하는 점을 악용했다.
이번 악성코드는 동일한 메모리해킹 방법으로 보안카드 정보를 제외한 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 ‘받는사람’의 계좌번호를 공격자의 계좌번호로 몰래 바꾼다.
이어 사용자의 계좌 잔액을 파악(공격자가 설정한 기준금액에 맞거나 더 많을 경우)한 후 이체하는 금액도 사용자 몰래 수정한다.
이 과정에서 사용자가 입력하는 보안카드 정보는 공격자가 가로채지 않고 정상적으로 은행에 전송되며, 이후 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료(공격자의 계좌번호 및 수정된 금액으로)되는 것이다.
따라서 이 경우 금융기관 입장에서는 정상적인 이체로 보일 수 밖에 없기 때문에 이상 징후를 파악하는 것이 불가능하다.
경찰에 따르면 지난 8~11일 이같은 수법에 따른 피해가 22건 접수됐으며 피해 금액은 5000여만원에 이른다고 밝혔다.
경찰은 이같은 악성코드에 감염됐을 경우 인터넷뱅킹 과정에서 컴퓨터 화면이 깜박거리는 증상이 나타난다고 설명했다.
이호웅 안랩 시큐리티대응센터장은 “이번 악성코드의 경우는 긴 추석 연휴기간 중이나 월급날 등 인터넷뱅킹이 활발하게 일어나는 특정 시기에 더욱 증가 할 가능성이 높다”며 “인터넷뱅킹 사용자는 금전피해를 보지 않도록 귀찮더라도 최신 백신 업데이트 등 기본 보안 수칙을 준수하는 것이 반드시 필요하다”라고 말했다.
국민일보 쿠키뉴스 김현섭 기자 afero@kmib.co.kr 트위터 @noonker
안랩은 지난 7월 발견된 ‘보안모듈의 메모리 해킹 악성코드’에서 더욱 진화한 형태의 금전 유출 시도 악성코드를 발견하고 분석결과를 17일 발표했다.
이번에 발견된 악성코드는 인터넷뱅킹 이용자의 금융정보를 유출하는 기존 방식에서 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다. 이른바 ‘슈퍼 메모리해킹’인 셈이다.
기존의 메모리해킹 방식은 사용자가 거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)한다. 이후 정상 작동 과정에서 보안모듈을 무력화한 후 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취한다.
이어 거래가 정상적으로 이뤄지지 않도록 강제로 인터넷뱅킹을 종료한 후 탈취한 금융정보와 동일한 보안카드 번호를 이용해 금전을 탈취한다. 이 때 거래가 성사되지 않은 인터넷뱅킹 건은 은행에서 동일한 보안카드 번호를 요청하는 점을 악용했다.
이번 악성코드는 동일한 메모리해킹 방법으로 보안카드 정보를 제외한 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 ‘받는사람’의 계좌번호를 공격자의 계좌번호로 몰래 바꾼다.
이어 사용자의 계좌 잔액을 파악(공격자가 설정한 기준금액에 맞거나 더 많을 경우)한 후 이체하는 금액도 사용자 몰래 수정한다.
이 과정에서 사용자가 입력하는 보안카드 정보는 공격자가 가로채지 않고 정상적으로 은행에 전송되며, 이후 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료(공격자의 계좌번호 및 수정된 금액으로)되는 것이다.
따라서 이 경우 금융기관 입장에서는 정상적인 이체로 보일 수 밖에 없기 때문에 이상 징후를 파악하는 것이 불가능하다.
경찰에 따르면 지난 8~11일 이같은 수법에 따른 피해가 22건 접수됐으며 피해 금액은 5000여만원에 이른다고 밝혔다.
경찰은 이같은 악성코드에 감염됐을 경우 인터넷뱅킹 과정에서 컴퓨터 화면이 깜박거리는 증상이 나타난다고 설명했다.
이호웅 안랩 시큐리티대응센터장은 “이번 악성코드의 경우는 긴 추석 연휴기간 중이나 월급날 등 인터넷뱅킹이 활발하게 일어나는 특정 시기에 더욱 증가 할 가능성이 높다”며 “인터넷뱅킹 사용자는 금전피해를 보지 않도록 귀찮더라도 최신 백신 업데이트 등 기본 보안 수칙을 준수하는 것이 반드시 필요하다”라고 말했다.
국민일보 쿠키뉴스 김현섭 기자 afero@kmib.co.kr 트위터 @noonker
