보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr)는 최근 인터넷 뱅킹의 보안 솔루션을 공격해 사용자의 금융 개인정보를 탈취하는 악성코드가 발견돼 인터넷 뱅킹을 이용하는 사용자의 각별한 주의가 요구된다고 4일(화) 밝혔다.

해당 악성코드는 인터넷뱅킹 사용자들의 정보를 탈취할 목적으로 2012년 9월경 처음 등장하였으며 현재까지 약 550개의 변종이 존재하는 것으로 확인되었다. 특히 올해 3월부터는 인터넷 뱅킹의 보안 인증 및 암호화 등을 수행하는 보안 솔루션의 특정 모듈을 악성행위를 수행하도록 변조하는 기법을 사용하기 시작했다.

이렇게 변조된 보안 모듈은 정상 보안수단 확인 창 및 정상 안심클릭 창 대신 각각 가짜 보안 수단 확인 창과 가짜 안심클릭 창을 띄워 정상적인 인터넷뱅킹 및 결제 과정 도중에 사용자의 금융 관련 개인정보를 탈취한다.

[그림1] 보안모듈 변조01-가짜 보안수단 확인창


[그림2] 보안모듈 변조02-가짜 안심클릭 창

해당 악성코드로 인해 다음과 같은 사용자의 입력 정보가 공격자에게 유출된다.

<인터넷 뱅킹 관련 정보>
- 공인인증서
- 공인인증서 비밀번호
- 보안카드 일련번호
- 보안카드 번호
- 주민등록번호
- 기타 금융거래에 필요한 개인정보

<안전결제/안심클릭 관련 정보>
- ISP(안전결제) 인증서
- 신용카드 번호
- 신용카드 비밀번호
- 카드 유효기간
- 카드 CVC
- 기타 금융거래에 필요한 개인정보

㈜하우리 선행연구팀 최상명 팀장은 “그 동안 해커들은 금융정보 탈취를 위해 사용자의 은행 사이트 접속을 정상 사이트가 아닌 가짜 피싱 사이트로 변경하는 파밍 기법을 주로 이용했으나, 이제는 인터넷 뱅킹에 사용되는 보안 모듈을 직접 변조하는 방법으로 정보를 탈취하고자 시도하고 있다.” 고 말하며 “이런 류의 악성코드에 감염될 경우 실제 은행사이트를 이용하는 도중에 금융 정보가 외부에 유출될 수 있으므로 이용자의 각별한 주의가 필요하다”고 당부했다.