[디지털데일리 이민형기자] 국내 금융소비자들의 금전 탈취를 위해 만들어진 파밍용 악성코드가 여전히 기승을 부리고 있다. 특히 지난해에 이어 PC와 안드로이드를 동시에 감염시키는 악성코드가 또 다시 등장해 사용자들의 주의가 필요하다.

30일 보안업계에 따르면 하루에도 수십개의 국내 웹사이트들이 변조돼 파밍용 악성코드를 유포하고 있다.

이들 악성코드는 윈도 도메인네임서버(DNS) 파일을 조작해 사용자들을 파밍용 웹사이트로 유도하고, 이를 통해 금융정보를 탈취한다.

방식은 과거와 크게 다르지 않다. 가장 흔하게 사용되는 방식은 DNS 서버를 로컬호스트 IP주소(127.0.0.1)로 변경해 루프백을 설정하고, 파밍 사이트에 접속하도록 DNS 서버를 별도로 운영한다.

이로 인해 사용자는 정상적인 URL을 입력해 웹페이지에 접속하더라도 파밍용 홈페이지로 연결되게 된다.

호스트 파일을 변조하는 수법은 이미 오래전부터 사용돼 왔다. 이때문에 백신SW는 호스트 파일의 변조여부를 매번 확인하게 된다. 백신SW는 인터넷뱅킹 홈페이지의 주소가 엉뚱한 IP주소로 연결되는 것을 탐지하고 이를 차단한다.

문제는 백신SW도 로컬호스트 IP주소는 걸러내지 않는다는 점이다. 사용자의 편의(광고차단, 사이트차단) 등의 이유로 로컬호스트 IP주소를 호스트 파일에 사용하는 경우가 많기 때문이다.

악성코드는 우선 호스트 파일을 읽어내는 시스템 파일(svchost.exe)에 악성파일을 삽입(injection)해 로컬호스트로 위장된 호스트 파일을 불러온다.

파밍 악성코드는 DNS 서버를 조작하는 것으로 그치지 않는다. 공인인증서 탈취를 위해 하드디스크, 이동식디스크 등 모든 저장매체의 NPKI 폴더를 통째로 압축해 가져간다. 빛스캔에 따르면 일주일에도 수천건의 공인인증서가 공격자 서버로 전송되고 있다.

최근에 PC와 안드로이드를 동시에 감염시키는 악성코드가 재등장했다. 2013년 12월에 첫 등장한 동시 감염 악성코드는 먼저 드라이브바이다운로드(DBD) 방식으로 유포돼 PC를 장악한다.

이어 감염된 PC와 기존에 연결돼 있거나 새로 연결된 안드로이드 스마트폰을 확인해, 연결이 활성화된 기기에 악성 앱을 강제로 내려 받고 사용자 동의 없이 설치하는 2차 감염 작업을 진행한다.

악성코드를 통해 설치된 악성 앱은 안드로이드 스마트폰에 이미 설치된 일부 인터넷 뱅킹앱을 가짜 뱅킹앱으로 대체하고, 사용자가 허위 뱅킹앱에 입력한 각종 금융관련 정보를 탈취한다.

해당 악성코드는 ‘USB 디버깅 모드’가 설정된 안드로이드 기기에 한해 감염이 되는 특징 때문에 일반인들에게 광범위하게 확산되는 형태의 악성코드라고 할 수는 없으나, 주의가 필요한 상황이다.

보안업계 관계자는 “거의 매일 국내 유수의 웹사이트들이 변조돼 파밍용 악성코드 유포가 지속되고 있다”며 “모바일 기기에 담긴 개인금융정보를 노리는 악성코드도 스미싱 등을 통해 지속적으로 등장하고 있어 사용자들의 각별한 주의가 필요하다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr