아카마이가 자사 프로렉스 보안 공학 및 대응팀(이하 PLXsert)을 통해 새로운 사이버 보안 위협 경고를 발표했다.

이번 경고는 은행과 기업들의 금융사기에 사용된 윰바 웹인젝트(Yummba Webinject) 툴에 관련된 것으로 자세한 내용은 www.stateoftheinternet.com/yummba에서 확인 가능하다.

아카마이에 따르면 제우스 크라임웨어(Zeus Crimeware)는 악성코드 생성 툴킷으로 은행 자격 증명 해킹, 디도스 공격에 대한 봇넷 구축, PaaS 및 SaaS 인프라 공격과 같은 사이버 범죄 유형에서 호스트(좀비)를 제어하는데 사용돼 왔지만 윰바 사용자 정의 웹인젝트의 추가된 기능은 이보다 훨씬 위험한 악성코드를 생성한다.

웹인젝트 공격은 계좌 및 권한 정보 도용과 같은 간단한 공격부터 공격자 제어 계정에 자동 송금 기능을 걸어놓는 ATS엔진(ATSEngine) 사용 공격까지 방법이 다양하다.

각각의 윰바 웹인젝트는 뱅킹 사용자들을 쉽게 속이기 위해 특정 금융기관 웹사이트의 모양과 느낌에 맞게 커스터마이즈된다. 무엇보다 윰바 웹인젝트는 제 3자 계정에 피해자의 자금이 입금되도록 설계된 악성 자동 전송 시스템(ATSEngine)과 함께 작동된다.

윰바 웹인젝트를 사용해 웹 화면에 동적 콘텐츠를 삽입하면 고객이 온라인 뱅킹 서비스를 이용할 때 사용자 페이지에서 개인 정보를 가져와 즉각적이며 자동적으로 계좌에서 돈을 빼낼 수 있다.

스튜어드 스콜리 아카마이 보안사업부 수석 부사장은 “프로렉스 보안 공학 및 대응팀 (PLXsert)은 활성화된 웹인젝트가 접근 가능한 금융기관이 100개가 넘는다는 것을 확인했는데 대부분 북미와 유럽의 중대형 금융기관들이었다”며 “이러한 공격을 예방하는 데에는 사용자 교육, 향상된 보안 및 시스템 강화를 비롯해 국제 협력 및 지역 사회 차원의 정리가 필요하다”고 조언했다.

프로렉스 보안 공학 및 대응팀(PLXsert)은 언더그라운드 크라임웨어 시스템이 수많은 인터넷 이용 장치를 이용해 윰바 웹인젝트와 같은 더 강력하고 새로운 도구를 계속해서 만들어낼 것이라고 예측했다.

프로렉스 보안 공학 및 대응팀(PLXsert)이 발표한 경고 보고서의 내용을 살펴보면 ▲웹인젝트 작동 경로 ▲제우스(Zeus) 및 ATSengine과 같은 공동 악성코드 ▲잠재적인 금융 공격 대상 코드 분석 ▲도난 데이터의 종류 ▲취약성 완화 등이 있다.

이광재 기자 다른기사 보기