과거 한국에서는 온라인 뱅킹과 관련된 보안 위협은 한국만 독특한 금융 보안 시스템과 맞물려서 해외에서 발생하는 온라인 뱅킹과 관련된 보안 위협들이 한국에서는 효과적이지 못한 상태였습니다.
그러나 2012년 들어 이러한 한국의 온라인 뱅킹을 위한 보안 시스템을 무력화하는 크라임웨어(Crimeware) 형태의 악성코드들이 지속적으로 발견되고 있으며, 스마트폰을 이용한 SMS, 정교하게 만들어진 피싱(Phishing) 웹 사이트들과 결합된 복합적인 형태로 발전하고 있는 실정 입니다.
그러한 의미에서 본 원고를 팀내 후배인 양하영 선임 연구원과 함께 한국의 온라인 뱅킹 보안 위협에 대해 작성하여 회사에서 배포하는 "월간 안"에 "[Threat Analysis] 진화하는 온라인 뱅킹 위협"라는 제목으로 2012년 10월호에 실게 되었습니다.
초안의 연구 논문적인 성격의 글에서 세일즈 마케팅 편집자분께서 일반인들이 읽기에 조금 더 편한 분위기와 방향으로 수정을 해주셨니다. 그래도, 편집된 원고가 전체적으로 초안의 방향성과는 크게 다르지 않아 온라인 뱅킹 보안 위협에 대한 이해에 도움이 되리라 생각 됩니다.
[그림 5]의 2007년 1월 국내에서 발견돼 언론에 보도된 바 있는 온라인 뱅킹 트로이목마는 EXE(‘1.exe’) 파일과 DLL(‘aer4532gxa.dll’) 파일의 두 형태로 구성돼있으며, 실제 악의적인 행위는 DLL 파일에 의해 이루어진다. 해당 악성코드의 본래 목적은 온라인 게임 관련 개인 정보 탈취 기능으로, 온라인 뱅킹 정보 유출이 추가적인 기능을 하는 형태로 제작된 것이다. 즉, 온라인 뱅킹 트로이목마의 초기 단계라 할 수 있다.
초안의 연구 논문적인 성격의 글에서 세일즈 마케팅 편집자분께서 일반인들이 읽기에 조금 더 편한 분위기와 방향으로 수정을 해주셨니다. 그래도, 편집된 원고가 전체적으로 초안의 방향성과는 크게 다르지 않아 온라인 뱅킹 보안 위협에 대한 이해에 도움이 되리라 생각 됩니다.
+-----------
직장인 A씨는 어느 날, 주 거래 은행의 SMS 문자를 받고 가슴이 철렁 내려앉았다. 보안 위험성 문제가 있으니 전액을 계좌 이체하란다. 당연히 피싱부터 의심했다. 휴대전화 배터리가 다 된 것은 천운이었을까? 회사 전화를 통해 해당 은행 지점에 전화했더니 보안 위험성과 관련한 계좌 이체를 권고하는 연락을 한 적이 없단다. 운 좋게 피싱을 피하게 된 것이다.
놀란 가슴을 쓸어 내리던 A씨는 문득 억울했다. 공인인증서를 USB에 보관하는 것은 기본이고, 인터넷 뱅킹을 할 때 주소창에 직접 주소를 입력하여 은행 사이트에 접속하고 있기 때문이다. 최근 은행 사이트를 이용한 피싱이나 파밍 공격이 자주 발생한다는 언론보도를 접한 이후 들인 습관이다. 그런데 왜, 어떻게 개인 금융 정보가 낱낱이 노출된 것일까? 은행에서는 해킹 당하거나 전산 오류도 없었다고 한다. 그렇다면 도대체 무엇이 원인이란 말인가.
지난 2011년, 해외에서는 온라인 뱅킹 악성코드 '제우스(Zeus)'가 악명을 떨쳤다. 해외 언론 보도에 따르면 2011년 검거된 한 사이버 범죄 집단은 4년간 제우스 악성코드를 유포하여 총 2억 달러를 탈취한 혐의로 체포된 바 있다. 최근에는 지난 5월 중순 뱅키(Banki) 트로이목마가 발견돼 온라인 뱅킹 환경의 위협이 더욱 가중되었다. 뱅키 트로이목마는 다양한 변종이 여러 경로를 통해서 꾸준히 유포되면서 전문가도 구분하기 어려울 정도로 정교하게 만들어진 피싱 사이트로 접속을 유도하기 때문에 피해 예방이 쉽지 않은 상태다. 이에 국내외 온라인 뱅킹 위협의 양상을 살펴보고, 특히 최근 국내에 유포되고 있는 고도화된 온라인 뱅킹 트로이목마의 특징을 사례를 통해 상세히 알아본다.
사이버 범죄의 21%가 온라인 뱅킹 사기
전 세계 사이버 범죄 동향과 관련해 가장 자주 언급되는 국가는 러시아와 중국일 것이다. 러시아 사이버 범죄 전문 연구 업체인 Group-IB에서 작성한 ‘2011 러시아 사이버 범죄 시장 동향(State and Trends of The Russian Digital Crime Market 2011)’ 자료에 따르면, 스팸(Spam)과 온라인 뱅킹 사기(Online Banking Fraud)가 각각 24%, 21.3%로 전체 사이버 범죄의 절반 가량을 차지하는 것으로 나타났다([표 1]).
특히 러시아에서 발생하는 온라인 뱅킹 사기는 온라인 뱅킹 정보 탈취를 목적으로 제작된 악성코드들인 크라임웨어(Crimeware)에 의한 것이 대부분이다. 크라임웨어는 2008년경부터 사용된 용어로, 해당 소프트웨어(혹은 크라임웨어)를 실행하는 사용자(혹은 피해자)가 알지 못하게 불법적인 동작을 수행하여, 악성코드 제작자에게 금전적인 이익을 안겨주는 형태를 가리킨다.
대표적인 크라임웨어로는 온라인 뱅킹에 사용되는 개인 정보를 탈취하여 악성코드 제작자에게 전달하는 제우스(Zeus)와 스파이아이(Spyeye)가 있다.
[표 1] 러시아 블랙 마켓의 사이버 범죄 형태별 수익 현황(출처: Group-IB)
[그림 1] 온라인 뱅킹 트로이목마 제우스 악성코드 생성 도구
[그림 2] 스파이아이 악성코드 생성도구
유럽 온라인 뱅킹, 제우스와 스파이아이가 점령
제우스와 스파이아이는 [그림 3]과 같이 온라인 뱅킹 웹 사이트의 로그인 페이지에서 사용자가 입력하는 아이디와 비밀번호를 후킹하여 특정 서버로 전송하는 구조를 갖고 있다.
이들은 주로 유럽 지역의 금융 기관을 타깃으로 하고 있다. 기본적으로 유럽 지역의 온라인 뱅킹 시스템은 사용자 아이디와 비밀번호만으로 로그인과 온라인 뱅킹이 가능하도록 시스템이 구축되어 있기 때문이다. 이 같은 시스템의 구조를 이용, 사용자 로그인과 비밀번호가 입력되는 웹 페이지의 텍스트 박스를 후킹하는 웹 폼 그래빙(Web Form Grabbing) 기법이 사용되는 것이다.
[그림 3] 스파이아이 변형에 의해 웹 폼 그래빙 기법으로 탈취되는 텍스트 박스
제우스와 스파이아이의 이러한 기법으로 온라인 뱅킹 정보 탈취가 가능하고 금전적인 이윤 확보가 가능해지는 것이 확인되자, 러시아를 포함한 동유럽 지역에서는 이와 유사한 형태의 크라임웨어 제작이 활발해졌다.
한편 스파이아이의 초기 변형은 금융 기관 홈페이지에서만 금융 정보 탈취를 목적으로 유포되었다. 그러나 일정 시간이 지나자 [그림 4]와 같이 금전적인 이윤을 확보할 수 있는 정보들이 존재하는 업종들로까지 그 타깃 범위를 서서히 넓힌 새로운 변종들이 나타나고 있다.
[그림 4] 스파이아이 변형이 정보 탈취를 노리는 기업들의 업종
지금까지 러시아와 유럽을 중심으로 해외에서 제작된 온라인 뱅킹 정보 탈취를 목적으로 한 크라임웨어의 사례에 대해 살펴보았다. 국내의 경우, 유럽의 온라인 뱅킹 시스템들과는 구조적인 차이를 갖고 있어 유럽 금융 기관을 타깃으로 제작된 크라임웨어들은 정상적으로 동작하지 않는다.
반면 남미의 브라질과 같이 국내에서도 온라인 뱅킹 정보 탈취를 목적으로 하는 온라인 뱅킹 트로이목마들이 지속적으로 발견되고 있다. 지금부터 한국에서 발견된 크라임웨어인 온라인 뱅킹 트로이목마의 발견 사례와 그 과정에서 분석된 발전 과정적인 특징들에 대해 살펴보겠다.
국내 온라인 뱅킹 트로이목마 기승
국내에 온라인 뱅킹 트로이목마가 본격적으로 등장하기 시작한 것은 2007년부터이다. 감염 방식은 이메일의 첨부 파일을 통해 악성코드 감염이 이루어지는 수동적 방식부터 시작해 현재는 다양한 소프트웨어들의 취약점 및 파일 공유사이트를 이용한 전파 등 보다 다양하고 능동적인 방식으로 이루어지고 있다.
또한 정보 유출 방식과 사용자들을 유도하는 피싱 사이트의 완성도까지 점차 발전하고 있어 일반인들로서는 악성코드의 감염 여부를 쉽게 인지하기 어려운 상황이다. 온라인 뱅킹 트로이목마는 온라인 게임 트로이목마와 마찬가지로 사용자에게 금전적 피해를 유발할 수 있다는 점에서 관심을 갖고 예의 주시할 필요가 있다. 특히 한국에서 유독 기승을 부리는 온라인 뱅킹 트로이목마의 과거와 현재를 분석하여 발전 과정에 대해 체계적으로 정리하고, 그에 따른 적절한 대응책 마련이 필요하다.
1. 온라인 뱅킹 트로이목마의 등장(2007년)
[그림 5]의 2007년 1월 국내에서 발견돼 언론에 보도된 바 있는 온라인 뱅킹 트로이목마는 EXE(‘1.exe’) 파일과 DLL(‘aer4532gxa.dll’) 파일의 두 형태로 구성돼있으며, 실제 악의적인 행위는 DLL 파일에 의해 이루어진다. 해당 악성코드의 본래 목적은 온라인 게임 관련 개인 정보 탈취 기능으로, 온라인 뱅킹 정보 유출이 추가적인 기능을 하는 형태로 제작된 것이다. 즉, 온라인 뱅킹 트로이목마의 초기 단계라 할 수 있다.
[그림 5] 2007년 온라인 뱅킹 트로이목마의 동작 과정
해당 악성코드는 공격자가 설정한 서버의 특정 페이지(‘kr.asp’)로 접속을 시도하여 피싱 웹 사이트 주소(‘xxx.xxx.xxx.xxx’: IP주소)를 얻어 호스트(host) 파일 변조에 사용한다. 사용자가 해당 사이트로 접속 시 공격자가 만들어 놓은 허위 뱅킹 사이트로 접속이 이루어진다. 이 피싱 사이트로부터 얻은 아이디와 비밀번호 정보와 함께 사용자 PC에 저장된 인증서가 존재하는 폴더 전체를 압축(‘npki.cab’)하여 공격자에게 전송(‘upfile.asp’)한다. 공격에 사용된 온라인 뱅킹 사이트는 총 2곳이다.
이러한 구조는 피싱 사이트 주소를 공격자로부터 받는 형태로 되어있어, 사이트가 차단되었을 경우, 변경된 사이트 주소로 재설정할 수 있다는 장점이 있다. 그러나 공격 대상은 온라인 뱅킹 사이트가 2곳으로 제한적이다. 또한 인증서 유출 시, 검색 대상인 드라이브 및 폴더 위치가 고정적이기 때문에 인증서가 ‘이동식 드라이브’ 또는 다른 드라이브에 저장되어 있을 경우 유출이 불가능하다.
인증서 비밀번호 유출이 없다는 점과 보안카드 유출이 이루어지지 않은 점으로 미루어 공격자는 국내 인터넷 뱅킹 환경과 인증절차를 정확하게 파악하지 못한 채 악성코드를 제작한 것으로 추론된다.
또한 악성코드의 동작도 정교한 수준은 아니다. 정보 유출에 사용된 DLL 파일이 인터넷 익스플로러(Internet Explorer)가 아닌 모든 실행 중인 프로세스에 인젝션(Injection)되어 구동된다. 또한 키보드 입력 값의 유출 대상(‘IEXPLORE.EXE’)이 지정되지 않아 메모장(‘notepad.exe’) 혹은 명령창(‘cmd.exe’)에서 키보드 입력 시 속도가 현저히 저하되는 증상이 발생한다.
이러한 동작의 정교하지 못한 부분들 때문에 사용자들이 쉽게 감염을 의심할 수 있는 정도였다. 당시 이러한 미숙한 점들 덕분(?)에 해당 악성코드에 의한 직접적인 사용자 피해는 발생하지 않겠지만, 이는 2차 공격을 위한 사전 준비 작업으로 분석됐다. 특히 추가적인 변형이 발생할 것으로 예측되었다.
2. 온라인 뱅킹 트로이목마 발전 사례(2012년 6월)
[그림 6]은 2012년 6월 발생한 온라인 뱅킹 트로이목마, 뱅키(Banki)의 동작 과정이다. 해당 샘플은 EXE(‘heads.exe’) 형태의 설치 파일(‘ZIP SFX’)로 제작되었다. 설치 파일은 EXE 파일 2개(‘adobe_update.exe’, ‘ncsoft.exe’)와 설정 파일 1개(‘NEWCONFIG.INI’)로 구성되어있다. 2개의 EXE파일 중 ‘adobe_update.exe’파일에 의해 실질적인 정보 유출이 이루어지며, ‘ncsoft.exe’ 파일에 의해 호스트 파일 변조 및 인터넷 보안 설정을 낮추기 위한 레지스트리(Registry) 값 변경 등의 작업이 이루어진다.
[그림 6] 2012년 6월 발견된 뱅키 동작 과정
해당 악성코드의 감염 시, ‘NEWCONFIG.INI’ 파일 내부에 저장된 서버주소(‘xxx.xxx.xxx.xxx’)로 호스트 파일에 대한 변조 작업이 이루어진다.
과거 일부 제한적인 사이트에 대해 공격이 이루어진 것과 달리, 현재는 국내 대부분의 뱅킹 사이트가 공격 대상이 되고 있다.
해당 악성코드는 대부분 파일 공유 사이트에서 동영상 파일로 위장하여 다운로드를 유도하거나 제로보드 또는 자바(Java) 같은 소프트웨어 취약점을 악용하는 형태로 감염이 이루어지고 있다.
해당 악성코드에 감염되면 호스트 파일 변조가 이루어지며 이를 통해 사용자가 온라인 뱅킹 사이트 접속 시, 피싱 사이트로 접속하게 된다. 피싱 사이트는 사용자의 보안카드 일련번호와 비밀번호, 이름, 주민등록번호, 아이디와 비밀번호 등의 입력을 유도한다.
또한 악성코드가 탑재하고 있는 인증서 로그인 화면을 이용해 인증서 비밀번호 유출도 이루어진다. 인증서 유출을 위해 윈도우 비스타(Windows Vista), 윈도우 7(Windows 7) 환경도 고려했을 뿐만 아니라 검색하는 폴더는 모든 고정식 드라이브와 이동식 드라이브도 검색 대상으로 하고 있다. 특히 폴더 전체를 압축하여 전송하는 것이 아니라 중요 파일들만 유출한다.
정리하자면, 해당 악성코드는 호스트 파일 변조를 이용해 온라인 뱅킹 정보유출을 시도한다는 점은 2007년 등장한 악성코드와 동일하지만 그 외의 면에서는 상당한 차이와 발전된 양상을 보인다. 우선 정체성이 뚜렸해졌다. 과거와 달리 현재의 온라인 뱅킹 트로이목마는 온라인 게임 관련 개인정보 유출 기능은 갖고 있지 않다.
이 밖에 ▲DLL 인젝션(Injection) 형태가 아닌 EXE 실행파일 형태로 동작한다는 점 ▲인증서 파일 유출 시 검색하는 드라이브가 기존의 C 드라이브에서 ‘이동식 드라이브’와 모든 ‘고정식 드라이브’로 확대되었다는 점 ▲인증서 파일 뿐만 아니라 인증서 비밀번호 유출을 위한 별도의 윈도우 창을 제작하였다는 점 ▲피싱 사이트에서는 보안카드를 비롯한 다양한 정보유출(계좌번호?계좌비밀번호 등)을 시도하고 있다는 점 등 과거에 비해 훨씬 정교해지고 발전되었음을 알 수 있다.
이 중 가장 큰 변화인 ‘공인 인증서 로그인 화면’은 ‘adobe_update.exe’ 파일에서 보여지는 것으로, 단순히 아이디?비밀번호가 아닌 인증서 파일에 대한 비밀번호 정보를 유출한다는 점에서 좀 더 자세히 살펴볼 필요가 있다.
가짜 인증서 로그인 화면을의 윈도우 타이틀은 정상적인 화면과 동일한 ‘전자 서명 작성’으로 되어있으며, 외형 면에서도 정상적인 화면과 매우 유사한 형태로 제작되어 있다. 또한 인증서 선택 시, 윈도우 화면상에 보여지는 인증서 ‘만료일’과 ‘발급자’, ‘사용자’ 정보도 인증서 파일(‘signCert.der’)을 읽은 후 ‘CRYPT32.DLL’의 ‘CertCreateCertificateContext’, ‘CertGetNameStringW’와 같은 API를 사용하여 얻은 값으로 정교하게 제작되었다. 그러나 글자와 그림의 배치가 정교하지 못하며, 특히 한글 표기 오류를 확인할 수 있다.
또한 인증서를 선택하기 위해 ‘인증서 찾기’ 버튼을 클릭할 때 정상적인 화면에서는 ‘인증서?개인키 묶음파일(*.pfx’, ‘*.p12)’ 형태로 나타나는 반면, 가짜는 ‘인증서?개인키 묶음파일(*.der)’ 형태로 나타나 차이를 보인다.
이 외에도 가짜 인증서 화면의 경우, ‘인증서 삭제’, ‘인증서 보기’ 버튼이 존재하지만 실제로는 아무런 동작을 하지 않는다. 또한 휴대폰 등의 다른 장치에 대한 지원이 정상적으로 이루어지지 않는 등 기능상의 허점이 있다.
한편 해당 악성코드의 공격 대상인 은행 사이트들의 ‘인증서 찾기’ 파일 형식은 대부분 *.pfx, *.p12, *.ipfx, *.ipf 등으로, ‘*.der’과 같은 파일 형식을 사용하는 곳은 없다. 해당 악성코드 제작자는 과거의 사례를 바탕으로 제작하였거나 다른 오픈 소스를 참고한 것으로 추정된다.
3. ‘뱅키(Banki)‘ 악성코드의 발전 사례 2(2012년 9월)
가장 최근인 2012년 9월 나타난 뱅키의 동작 과정이다. 해당 샘플은 EXE 파일(‘xx5.exe’) 1개만으로 동작한다. 앞선 사례들과 달리 호스트 파일에 대한 변조가 이루어지지 않으며, 정보 유출을 시도하는 사이트 또한 한 곳 뿐이다.
해당 악성코드는 사용자가 인터넷 주소 창에 입력하는 값을 모니터링 하고 있다가 은행 웹 사이트로 접속하려고 할 때 가짜 사이트인 ‘http://www.klibstar.com’으로 접속을 유도한다. 이 허위 사이트는 도메인 이름 및 웹 페이지 구성이 정상 사이트와 매우 유사하기 때문에 사용자는 별다른 의심 없이 정상 사이트로 착각하기 쉽다.
해당 악성코드에는 인증서 파일에 대한 유출 및 인증서 암호 유출을 위한 윈도우 화면 등이 존재하지 않는다. 대신 피싱 사이트를 통해 인증서 재발급 시 필요한 모든 정보를 입력하도록 해 이 정보를 바탕으로 새로운 인증서를 다시 발급받을 수 있도록 하였다. 인증서 재발급 시, 새로운 암호를 설정할 수 있고, 더 나아가 개인정보 수정을 통해 휴대전화 번호를 변경할 경우 사용자에게 발송되는 알림 문자 메시지를 우회할 수 있다. 즉, 사용자는 자신의 인증서 재발급 여부를 알 수 없는 것이다.
이러한 인증서 유출이 없는 형태의 공격 기법은 악성코드 기능을 단순화한 것으로, 피싱 사이트 제작을 위한 간단한 웹 프로그래밍만 할 수 있다면 누구나 쉽게 제작이 가능하다.
휴대전화 번호와의 결합, 공격의 진화
2012년 9월 발견된 온라인 뱅킹 트로이목마 사례를 보면, 악성코드 제작자는 사용자(피해자)의 휴대전화 번호 없이도 인터넷 뱅킹 시 필요한 사용자의 모든 정보를 얻은 상태다. 그럼에도 불구하고 왜 공격자는 사용자의 휴대전화 번호를 얻고자 했을까?
[그림 7]은 사용자 휴대전화 정보 유출이 온라인 뱅킹 위협과 결합되어 또 다른 공격으로 활용되는 예시이다.
[그림 7] 휴대전화 번호 유출과 결합된 공격 예상 시나리오
첫째, 공격자는 사용자의 개인정보 항목 중 휴대전화 번호를 공격자 자신의 것으로 변경함으로써 사용자가 자신의 정보가 도용되고 있음을 알 수 없도록 원천 봉쇄할 수 있다. 인증서 재발급 시, 등록된 사용자의 휴대전화 번호로 발송되는 재발급 알림 문자 메시지를 공격자가 받도록 함으로써 사용자가 자신의 인증서가 재발급된 사실을 알 지 못하도록 한다. [그림 7]의 ‘A’에 해당하는 부분이다.
둘째, 정상적인 서비스 완료 알림 메시지를 허위로 발송함으로써 사용자의 의심 없이 정보 유출을 시도할 수 있다. 공격자는 일련의 정보 유출에 의해 인증서 재발급 등이 이루어진 것을 ‘보안강화 서비스’의 일환인 것처럼 사용자를 속이기 위해 [그림 7]의 'B’로 표시된 부분과 같이 알림 문자를 발송함으로써 사용자에게 신뢰감과 안도감을 주는 효과를 얻는다.
셋째, ‘보이스 피싱’ 공격에 활용할 수 있다. [그림 7]의 ‘C’ 부분이다. 사용자의 신상 정보와 계좌 정보를 모두 알고 있는 상태에서의 보이스 피싱 공격은 사용자의 의심을 무력화시키는데 주효하게 작용하여 공격의 성공 확률이 높아진다.
이처럼 인터넷 뱅킹 관련 개인정보와 함께 휴대폰 번호가 유출되었을 경우, 다양한 형태의 공격으로 활용될 수 있음을 예측할 수 있다.
교묘한 피싱 사이트를 이용한 고도의 위협
최근 주로 발생하는 피싱 사이트에 의한 정보 유출 과정을 간략하게 살펴보면 다음과 같다.
첫 번째 단계는 ‘고객정보유출’을 경고하며 ‘보안강화 서비스’를 신청하도록 유도한다. 이때 보여지는 페이지는 정상 사이트와 매우 유사하게 보인다.
두 번째 단계에서는 마치 보안 프로그램이 로딩 중인 것처럼 위장한 플래시(Flash) 파일이 동작한다. 그러나 실제로는 아무런 작업도 이루어지지 않는다.
세 번째 단계는 사용자의 이름과 주민등록번호를 입력하도록 한다. 잘못된 주민등록번호를 입력할 경우에는 에러 창을 띄우는 정교함까지 갖추고 있다.
네 번째 단계에서는 주민등록번호, 아이디?비밀번호, 출금계좌번호?비밀번호, 휴대전화 번호, 보안카드일련번호?비밀번호까지 입력하도록 한다.
일반적인 국내 뱅킹 사이트에서 ‘개인 은행?신용카드?보험용 인증서’를 재발급 받을 경우 총 3 단계에 걸쳐 재발급이 이루어진다. 첫 번째 단계에서는 온라인 뱅킹 접속 시 사용하는 아이디?비밀번호와 주민등록번호 정보 입력이 필요하다. 두 번째 단계에서는 출금계좌와 계좌비밀번호, 보안카드 일련번호와 보안카드 비밀번호가 필요하다. 세 번째 단계에서는 주소와 전화번호 정보 등 개인정보를 입력한다. 이렇게 세 가지 단계를 거친 후 새 인증서를 발급받게 되며, 인증서 암호 및 저장위치를 지정할 수 있다.
문제는 최근 등장하는 온라인 뱅킹 트로이목마는 위와 같은 인증서 재발급 시 필요한 정보를 이미 모두 확보한 상태이므로, 별도의 인증서 파일을 유출하지 않아도 피해를 줄 수 있다는 점이다. 물론, 온라인 뱅킹 사이트마다 다소의 차이는 있지만, 대부분 이러한 정보의 요구 및 입력을 통해 인증서 재발급이 이루어진다는 점에서 유사한 형태의 악성코드에 의한 피해 확산이 우려된다.
[표 3] 사례별 온라인 뱅킹 트로이목마 비교
사이버 위협의 공격 기법은 나날이 지능적이고 고도화되고 있다. 다른 위협도 마찬가지지만 특히 온라인 뱅킹 위협 대응에는 왕도(王道)가 없다. 사용자의 세심한 주의와 함께 신뢰할 수 있는 기업에서 개발한 보안 프로그램을 설치하는 한편, 주기적인 검사가 가장 기본적인 대응 방법이자 최선의 방어이다.
[표 3]은 2007년부터 현재까지 발견된 온라인 뱅킹 트로이목마의 기능상 차이점을 정리한 것이다. 세 가지 사례 모두 피싱 사이트를 통한 정보 유출이라는 공통점을 갖고 있다. 온라인 뱅킹 이용 시 웹 사이트에 대한 사용자의 세심한 관심과 주의가 우선적으로 필요한 상황임을 알 수 있는 대목이다. 동시에 각 은행 및 금융 기관에서는 피싱 사이트와 정상 사이트를 식별할 수 있는 방법 등에 대한 공지와 적절한 조치를 갖춰야만 할 것이다.
댓글 없음:
댓글 쓰기