보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr)는 최근 '다음 번 이체 보안카드 요청 정보를 미리 알아내어 이를 가로채는 악성코드'가 발견되어, 인터넷 뱅킹을 이용하는 사용자의 각별한 주의가 요구된다고 30일(화) 밝혔다.

해당 악성코드는 다음 번 계좌 이체 시에 사용되는 보안카드 요청 번호를 알 수 있는 문제점을 이용한다. 악성코드는 사용자가 정상적인 이체 거래가 성공한 후 바로 다음 이체 시에 사용되는 보안카드 요청 번호를 알아내고, 사용자로부터 입력을 유도하여 이를 가로챈다. 이렇게 가로챈 정보는 바로 해커가 훔친 계정정보들을 토대로 인터넷 뱅킹에 로그인하여 계좌이체를 가능하게 한다.

[그림 1. 정상적인 이체 성공 후, 다음번 보안카드 정보를 가로채는 악성코드]

공격자에게 유출되는 정보는 다음과 같다.
- 다음 번 이체에 사용될 보안카드 번호
- 계좌 비밀번호
- 공인인증서
- 공인인증서 비밀번호
- 계좌 잔액
- 사용자 PC MAC 주소

또한 악성코드는 절취한 보안카드 정보 등을 C&C 서버로 전송하는데, 이때 DNS Sinkhole을 통해 C&C 서버의 접속이 차단되는 것을 우회하기 위해 별도의 DNS 서버에 C&C 도메인을 조회한 후 접속하여 C&C 차단을 우회한다.

[그림 2. DNS Sinkhole을 우회하여 C&C 서버로 다음번 보안카드 정보 전송]

㈜하우리 선행연구팀 최상명 팀장은 “정상적인 이체 성공 후, 다시 이체를 하지 않아도 다음 번 보안카드 요청 번호를 미리 알 수 있는 문제점을 이용하여 사용자로부터 다음 번 보안카드 정보 입력을 유도하고 있다.” 라고 말하며 “계좌 이체 성공 후에는 보안카드 정보를 다시 요청하지 않으니 사용자들은 이체 후에 절대 보안카드 정보를 추가로 입력하지 말아야 한다.”고 당부했다.

참고로 바이로봇 제품으로 최신 업데이트를 하면 본 악성코드 진단/치료 할 수 있다.