본문 바로가기
AhnLab News

2014.01.10 안랩, 인터넷뱅킹 이체정보 변경 악성코드 변종 주의 당부

by 보안세상 2020. 4. 18.

- 기존 ‘메모리해킹 금융정보 유출 및 이체정보 변경 악성코드’의 변종
- 이체 프로세스가 정상적으로 진행되기 때문에 금융기관이 해당 피해를 인지하기 어려워
- 인터넷뱅킹 사용 전에 V3 최신 업데이트 및 검사 필수(V3 개인/기업용 모두 진단 및 치료 가능)
- 최초 악성코드 감염을 방지하기 위해 기본 보안수칙 준수 필수

안랩(CEO 권치중, www.ahnlab.com)은 지난 7월에서 10월 사이에 발견된 ‘보안모듈의 메모리 해킹 및 이체정보 변경 악성코드’의 변종이 발견되어 인터넷뱅킹 사용자의 각별한 주의를 당부했다.

안랩은 지난 7월에 ‘보안모듈 메모리 해킹방식’으로 금융정보를 유출하는 악성코드를 분석해 발표한바 있고, 9월에는 기존 메모리해킹 방식에 인터넷뱅킹 이체 시 공격자가 원하는 대로 입금 은행 계좌번호와 이체 금액을 변경하는 기능이 더해진 악성코드를 발견해 발표한 바 있다(보충자료 참조).

 

[변종악성코드의 특징]

이번에 발견된 변종 악성코드는 국내 주요 은행들을 공격대상으로 하고 있다. 또한 코드 패턴을 일부 바꾸어 기존 진단명 기반으로 진단하는 백신을 우회 시도하며, 윈도우7 운영체제 이용자의 금융정보 유출 기능이 더해졌다.

 

[악성코드 동작 방식]

감염된 PC에서 사용자가 악성코드에 미리 입력된 은행 사이트에 접속 시 이를 감지해 동작한다. 이 악성코드는 1)보안을 위해 자동으로 구동되는 다양한 보안모듈의 메모리를 해킹(수정)해 보안모듈 무력화 2)이후, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취 3)계좌 이체 시, 받는 사람의 계좌번호를 공격자가 원하는 계좌번호로 몰래 바꾸고, 이체하는 금액도 사용자 몰래 수정 등의 행위로 금전 탈취를 시도한다. 이 경우 금융기관 입장에서는 정상적인 이체 사례여서 이상 징후를 파악하기 어렵다.

 

[예방 수칙]

인터넷뱅킹을 자주 이용하는 사용자는 피해예방을 위해 사용자 PC의 백신을 최신으로 유지하고 실시간 감시를 동작시켜야 한다. 특히 인터넷뱅킹 사용 전에는 반드시 최신 백신으로 PC를 사전 검사하는 것이 좋다. 또한, 최초 악성코드의 침입 자체를 막는 것도 중요하다. 이를 위해 믿을 수 없는 사이트 방문 자제, 수상한 이메일의 첨부파일과 SNS, 이메일에 포함된 URL 실행 자제 등 기본 보안 수칙 준수가 필수적이다.

 

현재 V3(기업용 및 개인용)는 해당 악성코드를 모두 진단 및 치료하고 있다.

 

안랩의 이호웅 시큐리티대응센터장은 “이번 악성코드 변종은 금전거래가 많아지는 연말, 연초를 노린 것으로 추정되며, 앞으로 설 연휴를 앞두고 있어서, 인터넷 뱅킹이 활발하게 일어나는 특정 시기에 증가할 가능성이 높다. 인터넷뱅킹 사용자는 금전피해를 보지 않도록 최신 백신 업데이트 등 기본 보안 수칙을 준수하는 것이 필수적이다.”라고 말했다. <Ahn>

 

[보충자료]

1) 7월 발견된 메모리 해킹방식 악성코드

- 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 다양한 보안솔루션의 보안모듈의 메모리를 해킹[수정].

- 이후 정상 작동 과정에서 보안모듈을 무력화한 후, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취. 이어서 거래가 정상적으로 이루어지지 않도록 강제로 인터넷뱅킹을 종료한 후, 공격자가 탈취한 금융정보와 동일한 보안카드 번호를 이용해 금전을 탈취.

 

2) 10월 발견된 계좌정보 이체 악성코드

- 7월 발견 건과 동일한 메모리 해킹 방법으로 보안카드 정보를 제외한 금융정보 유출을 하는 것은 물론이고, 사용자가 특정 은행에서 금전을 이체할 때 1)받는 사람의 계좌번호를 공격자의 계좌번호로 몰래 바꾸고, 2)사용자의 계좌 잔액을 파악(공격자가 설정한 기준금액에 맞거나 더 많을 시)한 후 이체하는 금액도 사용자 몰래 수정.

- 이 과정에서 사용자가 입력하는 보안카드 정보는 공격자가 가로채지 않고 정상적으로 은행에 전송되며, 이후 인터넷뱅킹 종료 없이 프로세스 자체는 정상적으로 완료[공격자의 계좌번호 및 수정된 금액으로]된다. 따라서 이 경우 금융기관 입장에서는 정상적인 이체사례여서 이상 징후를 파악하기 어렵다.