[뉴스토마토 곽보연기자] 인터넷뱅킹을 이용할 때 메모리를 해킹해 금융정보를 빼내거나 이체정보를 변경시키는 악성코드의 변종이 발견돼 보안업계가 주의를 당부했다.
안랩(053800)은 10일 지난해 7월과 10월 발견됐던 '보안모듈의 메모리 해킹 및 이체정보 변경 악성코드' 변종이 발견됐다며, 인터넷 뱅킹을 이용할 때 사용자의 각별한 주의가 필요하다고 경고했다.
지난해 7월 발견된 메모리 해킹방식 악성코드는 사용자가 금융거래를 하기 위해 은행 등 금융기관 사이트에 방문할 때, 보안을 위해 자동 구동되는 다양한 보안솔루션의 보안모듈 메모리를 해킹하는 방식으로 공인인증서 비밀번호와 보안카드 번호 등을 탈취했다. 이어 인터넷뱅킹을 강제 종료하고 탈취한 금융정보로 돈을 빼내는 수법이다.
10월에는 사용자가 특정 은행에서 이체 작업을 진행할 때 받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고, 사용자의 계좌 잔액을 파악해 이체금액도 수정하는 '계좌정보 이체 악성코드'가 발견된 바 있다.
이러한 악성코드는 사용자가 입력하는 보안카드 정보가 정상적으로 은행에 전송되며, 이후 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료된 것으로 나오기 때문에 정상적인 이체 사례로 판단된다는 위험이 있다. 금융기관 입장에서는 이같은 해킹방식에서 이상 징후를 파악하기 어렵다.
하지만 이번에 발견된 변종 악성코드는 국내 주요 은행들을 공격 대상으로 설정하고, 코드 패턴을 일부 바꿔 기존 진단명 기반으로 진단하는 백신을 우회 시도하는 것으로 조사됐다. 특히 윈도7 운영체제 이용자의 금융정보 유출 기능이 추가됐다.
악성코드에 미리 입력된 은행 사이트를 사용자가 감염 PC로 접속할 때 이를 감지해 동작하며, 보안을 위해 자동 구동되는 다양한 보안모듈의 메모리를 해킹해 보안모듈을 무력화시킨다. 이후 ▲공인인증서 비밀번호 ▲보안카드 번호 등 금전 이체에 필요한 정보를 탈취, 계좌 이체 시 받는 사람의 계좌번호를 공격자가 원하는 계좌번호로 몰래 바꾸고 이체하는 금액도 수정해 금전을 탈취한다.
전문가들은 이같은 악성코드를 예방하기 위해 "인터넷 뱅킹을 자주 이용하는 사용자는 피해예방을 위해 사용자 PC의 백신을 최신으로 유지하고 실시간 감시를 동작시켜야 한다"며 "특히 인터넷뱅킹 사용 전에는 반드시 최신 백신으로 PC를 사전 검사하는 것이 좋다"고 조언했다.
또 "최초 악성코드의 침입 자체를 막는 것도 중요하다"며 "이를 위해 믿을 수 없는 사이트 방문을 자제하고 수상한 이메일의 첨부파일과 SNS, 이메일에 포함된 URL 실행 자제 등 기본 보안 수칙 준수가 필수적"이라고 덧붙였다.
이호웅 안랩 시큐리티대응센터장은 "이번 악성코드 변종은 금전거래가 많아지는 연말, 연초를 노린 것으로 추정된다"며 "설 연휴를 앞두고 있어서 인터넷 뱅킹이 활발하게 일어나는 특정 시기에 증가할 가능성이 높다"고 경고했다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지