[디지털데일리 이민형기자] 4일 보안업계에 따르면 최근 국내 애드웨어(ADware)를 통한 파밍·메모리 해킹용 악성코드 유포가 확산되고 있다.

이 악성코드들은 보안솔루션을 우회하거나 스스로 DNS서버의 역할을 수행하도록 설계된 것이 특징이다. 공격자들은 최종적으로 사용자의 금융정보와 공인인증서를 탈취하거나, 이상거래를 유도해 금전적인 이득을 취한다.

악성코드의 동작방식은 다음과 같다. 먼저 공격자들은 인터넷 자료실 사용에 필요한 프로그램(다운로더, 애드웨어 등)에 악성코드를 심어놓고 사용자들을 기다린다. 사용자가 프로그램을 설치하면 자동으로 악성코드에도 감염되게 된다.

이 악성코드는 윈도 호스트파일(hosts.ics)를 변조해 인터넷뱅킹 사이트에 접속시 가짜 사이트로 연결되도록 조작하거나, 메모리 해킹에 사용된다.

파밍은 수년째 악용되고 있는 공격수법이다. 호스트파일을 변경해 가짜 사이트로 사용자를 유도하고 이를 통해 금융정보를 탈취한다.

메모리 해킹은 인터넷뱅킹을 사용하는 과정에서 사용자가 의도하지 않은 계좌에 이체를 시킬 수 있는 수법으로 지난해 7월 이슈로 떠올랐다.

공격자는 금융회사 서버에 전송하기 위해 메모리 주기억장치의 특정주소에 저장돼 있는 금융데이터를 위변조해 사용자의 의도와 다르게 입력값을 변경한다. 원본 문서 위에 공격자가 정보를 훔쳐내기 위한 ‘반투명 종이’를 덧댄 것으로 이해하면 쉽다.

보안업계에서는 이번 악성코드가 지난해 7월에 등장했던 메모리 해킹 악성코드보다 더 강력하다고 지적했다.

보안업계 관계자는 “메모리 해킹 대응용 보안솔루션들을 우회하는 것을 확인했다. 특히 보안업데이트 등과 무관하게 프로그램의 설치로 애드웨어, 악성코드까지 이어질 수 있어 파급력이 크다”고 설명했다.

한편 이번 악성코드는 국내 N, E, W은행 등을 노리고 제작, 유포된 것으로 확인되고 있다.

<이민형 기자>kiku@ddaily.co.kr