팔로알토네트웍스가 자사의 보안 정보팀 ‘유닛42(Unit 42)’의 조사 결과를 인용해 국내 온라인 뱅킹 사용자들의 금융정보탈취를 위한 악성파일 ‘KRBanker’ 활동이 급증하고 있다고 밝혔다.

팔로알토네트웍스는 자사의 보안 인텔리전스 분석 서비스 ‘오토포커스(Autofocus)’를 통해 지난해부터 KRBanker를 지속적으로 추적해 온 결과 2016년 초반부터 감염 대상이 꾸준히 증가해 최근 6개월 동안 2000여개 이상의 공격 샘플과 200여개 이상의 파밍(pharming) 서버 주소가 존재하는 것을 확인했다.

‘블랙문(Blackmoon)’이라는 이름으로 불리기도 하는 악성 파일 KRBanker는 파밍(pharming) 기술을 사용한다. 파밍이란 금융 사용자의 계정정보 탈취를 위해 MiTB(Man-in-the-Browser) 공격 수법을 사용하는 온라인 뱅킹 트로이목마 Dridex 및 Vawtrak 등과 달리 사용자가 정상적인 금융 사이트에 접속하더라도 해당 사이트가 감염된 경우 원조 사이트와 똑같이 위조된 웹사이트로 트래픽을 리다이렉팅 시키는 기술을 의미한다.