악성코드만으로 원스톱 형태 공격 감행

안랩(대표 김홍선, www.ahnlab.com)이 2일 경찰청이 발표한 인터넷뱅킹 계정탈취 관련 악성코드(경찰청 보도자료 제목: 파밍, 피싱사이트 주의보)를 입수, 분석한 결과를 발표하고 관련기관 및 고객사에 전달했다고 밝혔다.

안랩에 따르면 이번에 파악된 악성코드는 보안모듈 메모리 해킹(수정)을 시도하는 악성코드로 결과적으로 금융기관의 아이디·비밀번호, 공인인증서 비밀번호, 보안카드 번호 등 실제 개인(금융)정보를 탈취해 금전을 빼가기 위한 악성코드다.

이 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해 정상 작동과정에서 정보를 유출한다. 따라서 금융기관과 인터넷 뱅킹 사용자가 피해 전조를 명확하게 감지하기 어려워 피해 우려가 크다.

특히 타깃으로 삼은 은행 등 해당 금융기관에 특화돼 악성코드가 제작된 최초의 시도로 사전 공격없이 악성코드만으로 공격목표를 달성했다(원스톱 공격). 타깃 금융기관에 적용된 보안 제품(적용된 공인인증서와 키보드 보안 솔루션 등)과 인터넷 뱅킹의 보안 매카니즘(보안 카드)을 동시에 직접 해킹한 사례는 최초다.(기존에는 사용자 관리 부주의나 기존 정보 유출에 따른 2차 피해가 대부분이었음 )


메모리 해킹(수정) 악성코드의 심각성

1.보안모듈 메모리 해킹(수정/조작) 방식 = 해당 악성코드는 은행 사이트를 이용시 자동으로 구동되는(뜨는) 보안 제품(모듈) 즉 키보드 보안 솔루션, 공인인증서 등의 보안모듈의 메모리를 해킹(수정)해 무력화하고 악성코드가 원하는 동작(개인정보 유출)을 먼저 수행하도록 함.

2.타깃화된 공격(타깃화된 샘플작성, 타깃 금융기관 적용 중인 보안 제품 노려) = 각 악성코드들이 OO은행, OO 등 타깃으로 삼은 금융기관에 특화돼 제작돼 있고 타깃 금융기관에 적용된 키보드 보안솔수션, 공인인증서 등의 보안제품 들을 직접 공격하며 특히 기존에는 공인인증서 사전 탈취, 보안카드 정보 사전 탈취 등 사전 작업 후 공격을 시도했으나 이번에는 악성코드만을 이용해 원스톱one-stop) 형태의 공격을 감행.

3. 금융기관이 해당 공격 파악 어려움 = 클라이언트 보안 제품(PC보안제품)에 대한 직접적인 해킹(수정공격)으로 정상적인 금융 사이트 접속 및 정상 보안 모듈 구동을 유지하면서 수행하는 공격시도라서 해당 금융기관 서버에서는 감지할 수 없음.

4.인터넷 뱅킹 이용자 파악 불가 = 특정 공격 방식(타입B, 아래 설명 참조)의 경우 사용자 입장에서 보안카드 번호 입력시에 계속 에러가 나는 것 외에는 별다른 이상 징후를 파악하기 어렵고 피해 사실 확인과 관련, 이용자가 당일 인터넷 뱅킹으로는 피해사실을 알 수 없며(인터넷 뱅킹시 계속 에러가 나서 조회나 이체 등 거래가 불가능하기 때문) 피해자가 사전에 은행에 거래내역 SMS 전송 서비스를 신청해 문자를 받은 경우나 당일 은행 방문시 잔고확인이나 은행 ATM 이용시에 확인 가능하기 때문에 뒤늦게 피해사실을 알게 될 가능성이 높음.


 


메모리 해킹(수정)공격 시나리오

1. 사용자가 보안 취약 사이트 등 방문시 해당 악성코드에 감염(악성코드 잠복)

2. 이후 (악성코드 감염PC) 사용자가 금융 사이트를 방문하면 악성코드가 해당 사실을 감지

3. 악성코드는 사용자의 금융 사이트 방문시 구동되는 보안모듈에 메모리 해킹 공격 감행

4. 금융기관 아이디·비밀번호, 보안카드 번호, 공인인증서 비밀번호 등 개인(금융)정보 탈취

5. 일정 시간 후 공격자는 탈취한 금융정보로 금전 인출 시도





악성코드 종류
현재 금융기관에 사용된 악성코드의 유형이 다르게 나타남.


타입A = 이 악성코드는 먼저 금융 사이트 접속시 사용자 PC에 설치되는 보안 모듈(제품)의 메모리를 해킹(수정)해 해당 보안 모듈의 기능을 무력화함. 이후 별도 제작한 보안강화 설정이라는 새로운 대화창을 띄워 금융정보 탈취를 시도. 대화창은 통장 비밀번호, 이체 비밀번호, 보안카드 번호를 입력하도록 유도. 1번~35번까지 모든 보안카드 번호를 입력할 때까지 에러 메시지를 반복하며 35개 보안카드 번호를 확인할 때 까지 계속 시도하는 경우로 추정. 이전 방식인 보안카드의 모든 번호를 한번에 입력하도록 하는 방식에서 발전해 지속적인 에러처리로 보안카드 비밀번호 전체를 파악하는 방법으로 보임. 그러나 이 방법은 사용자가 수차례 입력하는 과정 중에 이상 징후를 느낄 수 있어 피해자가 다소 적을 것으로 판단됨. 다만 성공할 경우 공격자가 보안카드 전체를 가지고 있는 셈이 되어 사용자가 확인하지 않는 한 수차례 금전 피해를 입을 수 있음.


타입B = 이 악성코드는 보안 모듈(제품)의 메모리를 해킹(수정)하는 방식은 동일. 이 악성코드는 보안카드 번호 입력시에 이를 가로채는 방식으로 공격자는 사용자가 보안카드 번호를 입력하면 이를 가로채고 오류 창이 뜨도록 조치. 이 방식은 A타입보다 알아내기 어려워 피해확산이 우려됨.


양하영 안랩 선임 연구원은 "분석결과 현재 확인한 악성코드 형태 외에 200여개의 변종이 있을 것으로 추정하고 있다"며 "앞으로도 변종 악성코드 분석을 통해 지속적으로 대응해 나갈 예정"이라고 말했다. 

김홍선 안랩 대표는 "게임 보안 모듈 공격에 악용됐던 메모리 해킹(수정) 방식이 금융사 보안모듈 해킹에 적용된 첫 사례이며 사용자와 금융기관의 사전 감지가 어려워 피해확산이 우려된다"며 "무엇보다 인터넷 뱅킹으로 금전 거래시 반드시 관련 진단·치료 기능이 탑재된 백신 프로그램으로 사전 검사후 이용해야하고 사용자들은 2일 경찰청에서 배포한 보도자료에서 별도로 언급한 예방수칙을 반드시 참고하는 게 좋다"고 밝혔다.