안랩(대표 김홍선 www.ahnlab.com)은 지난 2일 경찰청이 발표한 인터넷뱅킹 계정탈취 관련 악성코드(경찰청 보도자료 제목: 파밍, 피싱사이트 주의보)를 입수, 분석한 결과를 발표하고 관련기관 및 고객사에 전달했다고 3일 밝혔다.

이번에 파악된 악성코드는 보안모듈 메모리 해킹(수정)을 시도하는 악성코드로, 금융기관의 아이디/비밀번호, 공인인증서 비밀번호, 보안카드 번호 등 실제 개인(금융)정보를 탈취, 금전을 빼가는 기술이다.

이번 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)해 정상 작동 과정에서 정보를 유출한다. <그림 ‘인터넷뱅킹 해킹 흐름도’ 참조>

▲ 그림 ‘인터넷뱅킹 해킹 흐름도’

따라서 금융기관과 인터넷 뱅킹 사용자가 피해 전조를 명확하게 감지하기 어려워 피해 우려가 크다.

특히 타깃으로 삼은 은행 등 해당 금융기관에 특화돼 악성코드가 제작된 최초의 시도로 사전 공격없이 악성코드만으로 공격목표를 달성했다(원스탑공격).

타깃 금융기관에 적용된 보안 제품(적용된 공인인증서와 키보드 보안 솔루션 등)과 인터넷 뱅킹의 보안 매카니즘(보안카드)을 동시에 직접 해킹한 사례는 최초로 보인다.

기존에는 사용자 관리 부주의나 기존 정보 유출에 따른 2차 피해가 대부분이었다.

◆메모리 해킹(수정) 악성코드의 심각성 = 이같은 공격은 몇가지 심각성을 갖는다.

우선, 보안모듈 메모리 해킹(수정/조작) 방식을 적용한다는 점이다. 해당 악성코드는 은행 사이트를 이용 시 자동으로 구동되는(뜨는) 보안 제품(모듈) 즉 키보드 보안 솔루션, 공인인증서 등의 보안모듈의 메모리를 해킹(수정)해 무력화하고 악성코드가 원하는 동작(개인정보 유출)을 먼저 수행하도록 한다.

다음으로 타깃화된 공격을 감행한다. 각 악성코드들이 OO은행, OO 등 타깃으로 삼은 금융기관에 특화, 제작됐다.

또한 타깃 금융회사에 적용된 키보드 보안솔수션, 공인인증서 등의 보안제품을 직접 공격한다.

특히 기존에는 공인인증서 사전 탈취, 보안카드 정보 사전 탈취 등 사전 작업 후 공격을 시도했으나 이번에는 악성코드만을 이용하여 원스탑(one-stop) 형태의 공격을 감행하는 것이 특징이다.

금융기관이 해당 공격 파악 어려움을 겪는다는 점이다.

클라이언트 보안 제품(PC보안제품)에 대한 직접적인 해킹(수정공격)으로 정상적인 금융 사이트 접속 및 정상 보안 모듈 구동을 유지하면서 수행하는 공격시도라서 해당 금융기관 서버에서는 감지할 수 없다는 것이다.

인터넷 뱅킹 이용자 파악이 불가능하다. 특정 공격 방식(타입B, 아래 설명 참조)의 경우 사용자 입장에서 보안카드 번호 입력 시에 계속 에러가 나는 것 외에는 별다른 이상 징후를 파악하기 어렵다.

사실 확인과 관련, 이용자가 당일 인터넷 뱅킹으로는 피해사실을 알 수 없고(인터넷 뱅킹 시 계속 에러가 나서 조회나 이체 등 거래가 불가능하기 때문), 피해자가 사전에 은행에 거래내역 SMS 전송 서비스를 신청, 문자를 받은 경우나 당일 은행 방문시 잔고확인이나 은행 ATM 이용 시에 확인 가능하기 때문에 뒤늦게 피해사실을 알게 될 가능성이 높다.

◆메모리 해킹(수정)공격 시나리오 = 이같은 공격 방식은 일단 사용자가 보안 취약 사이트 등 방문 시 해당 악성코드에 감염(악성코드 잠복)시키는 데서 시작된다.

이후 (악성코드 감염PC)사용자가 금융 사이트를 방문하면 악성코드가 해당 사실을 감지하고, 악성코드는 사용자의 금융 사이트 방문 시 구동되는 보안모듈에 메모리 해킹 공격 감행을 시작한다.

악성코드는 평소에는 사용자의 일반 인터넷 이용 시에 반응을 안 하고 금융거래를 하기 위한 은행서비스 이용 시에만 동작한다.

즉, 사용자가 금융기관 금융거래 서비스 이용시 자동으로 동작하는 보안 모듈이 구동되면, 악성코드가 이를 감지해 보안모듈 메모리 해킹(수정)을 수행하는 것이다.

특히 보안 모듈 자체가 동작하지 않을 경우 금융기관에서 파악할 수 있어 메모리 해킹(수정) 방식으로 보안모듈은 동작은 유지하되 무력화하고 악성코드가 원하는 사용자 개인(금융)정보 유출 등의 행위를 먼저 수행하도록 조치한다.

이후 금융회사 아이디/비밀번호, 보안카드 번호, 공인인증서 비밀번호 등 개인(금융)정보 탈취한다.

일정 시간 후 공격자는 탈취한 금융정보로 금전 인출 시도하면서 공격이 절정에 달한다. 탈취한 보안카드 번호(사용자가 입력했으나 악성코드가 가로채고 에러 처리했던 보안 카드번호)는 공격자의 에러처리로 은행에 전달되지 않았기 때문에 그대로 사용이 가능하다.(B타입 공격방식)

◆악성코드 종류 = 현재 금융기관에 사용된 악성코드의 유형이 다르게 나타난다.

타입A. 이 악성코드는 먼저 금융 사이트 접속 시 사용자 PC에 설치되는 보안 모듈(제품)의 메모리를 해킹(수정)해 해당 보안 모듈의 기능을 무력화한다.

이후, 별도 제작한 ‘보안강화 설정’이라는 새로운 대화창을 띄워 금융정보 탈취를 시도하고, 대화창은 통장 비밀번호, 이체 비밀번호, 보안카드 번호를 입력하도록 유도. 1번~35번까지 모든 보안카드 번호를 입력할 때까지 에러 메시지를 반복하며 35개 보안카드 번호를 확인할 때 까지 계속 시도하는 경우로 추정된다.

이전 방식인 보안카드의 모든 번호를 한번에 입력하도록 하는 방식에서 발전 지속적인 에러처리로 보안카드 비밀번호 전체를 파악하는 방법으로 보인다.

그러나 이 방법은 사용자가 수차례 입력하는 과정 중에 이상 징후를 느낄 수 있어 피해자가 다소 적을 것으로 판단된다.

다만 성공할 경우 공격자가 보안카드 전체를 가지고 있는 셈이 되어 사용자가 확인하지 않는 한 수차례 금전 피해를 입을 수 있다.

타입B. 이 악성코드는 보안 모듈(제품)의 메모리를 해킹(수정)하는 방식은 동일하다. 보안카드 번호 입력 시에 이를 가로채는 방식으로 공격자는 사용자가 보안카드 번호를 입력하면 이를 가로채고 오류 창이 뜨도록 조치한다.

이 방식은 A타입보다 알아내기 어려워 피해확산이 우려된다.

안랩 양하영 선임 연구원은 “분석결과, 현재 확인한 악성코드 형태 외에 200여개의 변종이 있을 것으로 추정하고 있다. 앞으로도 변종 악성코드 분석을 통해 지속적으로 대응해 나갈 예정”이라고 말했다

김홍선 대표는 “게임 보안 모듈 공격에 악용되었던 메모리 해킹(수정) 방식이 금융사 보안모듈 해킹에 적용된 첫 사례이며 사용자와 금융기관의 사전 감지가 어려워 피해확산이 우려된다”며 “무엇보다 인터넷 뱅킹으로 금전 거래 시 반드시 관련 진단/치료 기능이 탑재된 백신 프로그램으로 사전 검사 후 이용해야한다”며 “사용자들은 2일 경찰청에서 배포한 보도자료에서 별도로 언급한 예방수칙을 반드시 참고하는 게 좋다”고 밝혔다.

<김동기 기자>kdk@bikorea.net