침해사고/위협동향

‘뛰는’ 은행 위에 ‘나는’ 해커

이민형

[디지털데일리 이민형기자] 신종 전자금융사기를 예방하기 위해 금융회사들이 다양한 방안을 도입하고 있으나 이마저도 무력화되는 사례가 발생하고 있다.

공격자가 기술적으로 상쇄하는 경우를 비롯해 피해자의 심리를 이용해 본인 스스로 보안을 무력화하는 경우가 나타나고 있다.

15일 보안업계에 따르면 메모리해킹 등을 예방하기 위해 등장한 솔루션들을 무력화하는 악성코드가 등장해 주의가 필요하다.

해당 악성코드는 국내에서 서비스되고 있는 애드웨어 운영서버, 모듈 등의 해킹으로 유포되고 있으며 감염이후 사용자의 정보를 탈취한다. 그 이후 메모리해킹이나 파밍 등의 공격을 차단하는 보안솔루션을 무력화하는 공격을 감행한다.

문종현 잉카인터넷 시큐리티대응팀장은 “최근에 발견된 악성코드는 개인용 샌드박스 솔루션을 무력화할 수 있는 기능을 갖춘 것으로 분석됐다. 수 종의 변종 악성코드가 배포되고 있는 것으로 보아 지속적으로 공격을 감행하고 있는 것으로 보인다”고 설명했다.

과거부터 공격자들은 사용자들의 보안솔루션을 회피하거나 무력화하기 위해 갖은 노력을 다해왔다. 백신을 우회하기 위해 운영체제(OS) 진입과 동시에 동작해 백신의 실행과 업데이트를 막는 악성코드부터 보안솔루션의 보안모듈을 무력화해 원격지에서 사용자 PC 정보를 탈취하는 수법 등 다양하게 나타나고 있다.

이와 같은 수법을 차단하기 위해 보안업계에서는 웹브라우저의 메모리영역을 샌드박스로 만들어 외부의 공격을 차단하는 솔루션을 내놓고 있다.

하지만 현재 이조차도 공격자들의 주요 타깃이 돼 낙관적인 상황이라고 볼 수는 없다는 것이 보안전문가의 의견이다.

문 팀장은 “모 은행에서 (샌드박스) 보안솔루션을 도입했다는 기사가 등장한 이후 이를 무력화하고자하는 악성코드가 줄줄이 등장하고 있다”며 “현재 해당 솔루션 업체에서 대응책을 모색하고 있는 것으로 알고 있다”고 전했다.

현재 샌드박스 솔루션을 내놓은 업체는 소스 난독화, 모듈 업데이트 등으로 공격에 대응할 것이라고 전했다.

과거 자동응답시스템(ARS)의 맹점을 악용한 전자금융사기 수법도 재등장해 주의가 필요하다.

지난해 말부터 주요 은행들은 스미싱에 대한 대응책으로 ‘문자메시지 인증’을 폐지하고 ARS 인증 등 문자메시지 이외의 멀티팩터 인증을 도입했다. 현재 대부분의 사용자들은 멀티팩터 인증 수단으로 집전화나 휴대전화를 선택한 것으로 알려졌다.

공격자들은 파밍, 메모리해킹 등을 통해 사용자들의 전자금융정보를 탈취할 준비를 마친 뒤, 최종적으로 실제 금융회사의 ARS 인증을 수행하도록 유도한다. 사용자가 직접 선택하지는 않았으나 시기적절하게 걸려오는 ARS 인증에 속아 넘어갈 수 밖에 없다. 과거 스미싱과 같은 문자탈취 수법이 ARS 인증을 통해 그대로 재현되고 있는 것이다.

보안업계 관계자는 “무엇보다도 자신의 금융정보를 입력하지 않는 것이 가장 중요하다”며 “또한 자신이 요청하지 않은 그 어떠한 인증에 대해서는 응하지 말 것”이라고 당부했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널