안랩, ‘메모리 해킹(수정)’으로 금융정보 및 금전 유출 시도하는 악성코드 분석
정보보안기업 안랩은 2일(어제) 경찰청이 발표한 인터넷뱅킹 계정탈취 관련 악성코드(경찰청 보도자료 제목: 파밍, 피싱사이트 주의보)를 입수, 분석한 결과를 발표하고 관련기관 및 고객사에 전달했다고 3일 밝혔다.
이번에 파악된 악성코드는 보안모듈 메모리 해킹(수정)을 시도하는 악성코드로 결과적으로 금융기관의 아이디/비밀번호, 공인인증서 비밀번호, 보안카드 번호 등 실제 개인(금융)정보를 탈취하여 금전을 빼가기 위한 악성코드이다.
이번 악성코드는 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)하여 정상 작동 과정에서 정보를 유출한다. 따라서 금융기관과 인터넷 뱅킹 사용자가 피해 전조를 명확하게 감지하기 어려워 피해 우려가 크다.
특히 타겟으로 삼은 은행 등 해당 금융기관에 특화되어 악성코드가 제작된 최초의 시도로 사전 공격없이 악성코드만으로 공격목표를 달성했다(원스탑공격). 타겟 금융기관에 적용된 보안 제품(적용된 공인인증서와 키보드 보안 솔루션 등)과 인터넷 뱅킹의 보안 매카니즘(보안 카드)을 동시에 직접 해킹한 사례는 최초이다.(기존에는 사용자 관리 부주의나 기존 정보 유출에 따른 2차 피해가 대부분이었음 )
<메모리 해킹(수정) 악성코드의 심각성>
1.보안모듈 메모리 해킹(수정/조작) 방식
해당 악성코드는 은행 사이트를 이용 시 자동으로 구동되는(뜨는) 보안 제품(모듈). 즉 키보드 보안 솔루션, 공인인증서 등의 보안모듈의 메모리를 해킹(수정)하여 무력화하고 악성코드가 원하는 동작(개인정보 유출)을 먼저 수행하도록 함.
2.타켓화된 공격
( 타겟화된 샘플작성, 타겟 금융기관 적용 중인 보안 제품 노려 )
각 악성코드들이 OO은행, OO 등 타겟으로 삼은 금융기관에 특화되어 제작되어 있음. 또한 타켓 금융기관에 적용된 키보드 보안솔수션, 공인인증서 등의 보안제품 들을 직접 공격. 특히 기존에는 공인인증서 사전 탈취, 보안카드 정보 사전 탈취 등 사전 작업 후 공격을 시도했으나 이번에는 악성코드만을 이용하여 원스탑(one-stop) 형태의 공격을 감행.
3.금융기관이 해당 공격 파악 어려움
클라이언트 보안 제품(PC보안제품)에 대한 직접적인 해킹(수정공격)으로 정상적인 금융 사이트 접속 및 정상 보안 모듈 구동을 유지하면서 수행하는 공격시도라서 해당. 금융기관 서버에서는 감지할 수 없음.
4.인터넷 뱅킹 이용자 파악 불가
특정 공격 방식(타입B, 아래 설명 참조)의 경우 사용자 입장에서 보안카드 번호 입력 시에 계속 에러가 나는 것 외에는 별다른 이상 징후를 파악하기 어려움. 피해 사실 확인과 관련, 이용자가 당일 인터넷 뱅킹으로는 피해사실을 알 수 없고(인터넷 뱅킹 시 계속 에러가 나서 조회나 이체 등 거래가 불가능하기 때문), 피해자가 사전에 은행에 거래내역 SMS 전송 서비스를 신청하여 문자를 받은 경우나 당일 은행 방문 시 잔고확인이나 은행 ATM 이용 시에 확인 가능하기 때문에 뒤늦게 피해사실을 알게 될 가능성이 높음.
<메모리 해킹(수정)공격 시나리오>
1. 사용자가 보안 취약 사이트 등 방문 시 해당 악성코드에 감염(악성코드 잠복)
2. 이후 (악성코드 감염PC)사용자가 금융 사이트를 방문하면 악성코드가 해당 사실을 감지
3. 악성코드는 사용자의 금융 사이트 방문 시 구동되는 보안모듈에 메모리 해킹 공격 감행
- 클라이언트 보안모듈(제품): 키보드보안솔루션, 공인인증서 등 금융 사이트 구동 시에 사용자 보안을 위해 자동으로 구동되는 보안 솔루션 악성코드는 평소에는 사용자의 일반 인터넷 이용 시에 반응을 안 하고 금융거래를 하기위한 은행서비스 이용 시에만 동작. 즉, 사용자가 금융기관 금융거래 서비스 이용 시 자동으로 동작하는 보안 모듈이 구동되면, 악성코드가 이를 감지해 보안모듈 메모리 해킹(수정)을 수행. 특히 보안 모듈 자체가 동작하지 않을 경우 금융기관에서 파악 할 수 있으므로 메모리 해킹(수정) 방식으로 보안모듈은 동작은 유지하되 무력화하고 악성코드가 원하는 사용자 개인(금융)정보 유출 등의 행위를 먼저 수행하도록 조치
4. 금융기관 아이디/비밀번호, 보안카드 번호, 공인인증서 비밀번호 등 개인(금융)정보 탈취
5. 일정 시간 후 공격자는 탈취한 금융정보로 금전 인출 시도
탈취한 보안카드 번호(사용자가 입력했으나 악성코드가 가로채고 에러 처리했던 보안 카드번호)는 공격자의 에러처리로 은행에 전달되지 않았으므로 그대로 사용가능(B타입 공격방식).
<악성코드 종류>
현재 금융기관에 사용된 악성코드의 유형이 다르게 나타남.
타입A.
이 악성코드는 먼저 금융 사이트 접속 시 사용자 PC에 설치되는 보안 모듈(제품)의 메모리를 해킹(수정)해 해당 보안 모듈의 기능을 무력화함.
이후, 별도 제작한 ‘보안강화 설정’이라는 새로운 대화창을 띄워 금융정보 탈취를 시도. 대화창은 통장 비밀번호, 이체 비밀번호, 보안카드 번호를 입력하도록 유도. 1번~35번까지 모든 보안카드 번호를 입력할 때까지 에러 메시지를 반복하며 35개 보안카드 번호를 확인할 때 까지 계속 시도하는 경우로 추정.
이전 방식인 보안카드의 모든 번호를 한번에 입력하도록 하는 방식에서 발전하여 지속적인 에러처리로 보안카드 비밀번호 전체를 파악하는 방법으로 보임. 그러나 이 방법은 사용자가 수차례 입력하는 과정 중에 이상 징후를 느낄 수 있어 피해자가 다소 적을 것으로 판단됨. 다만, 성공할 경우 공격자가 보안카드 전체를 가지고 있는 셈이 되어 사용자가 확인하지 않는 한 수차례 금전 피해를 입을 수 있음.
타입B.
이 악성코드는 보안 모듈(제품)의 메모리를 해킹(수정)하는 방식은 동일
이 악성코드는 보안카드 번호 입력 시에 이를 가로채는 방식으로 공격자는 사용자가 보안카드 번호를 입력하면 이를 가로채고 오류 창이 뜨도록 조치. 이 방식은 A타입보다 알아내기 어려워 피해확산이 우려된다.
안랩 양하영 선임 연구원은 “분석결과, 현재 확인한 악성코드 형태 외에 200여개의 변종이 있을 것으로 추정하고 있다. 앞으로도 변종 악성코드 분석을 통해 지속적으로 대응해 나갈 예정이다”고 말했다
<진단 / 치료>
인터넷 뱅킹 사용 전에 V3 최신 업데이트 필수(V3 개인/기업용 모두 진단 및 치료 가능)
안랩 김홍선 대표는 “게임 보안 모듈 공격에 악용되었던 메모리 해킹(수정) 방식이 금융사 보안모듈 해킹에 적용된 첫 사례이며 사용자와 금융기관의 사전 감지가 어려워 피해확산이 우려된다”며 “무엇보다 인터넷 뱅킹으로 금전 거래 시 반드시 관련 진단/치료 기능이 탑재된 백신 프로그램으로 사전 검사 후 이용해야한다”며 “사용자들은 2일 경찰청에서 배포한 보도자료에서 별도로 언급한 예방수칙을 반드시 참고하는 게 좋다"밝혔다.