한국 노리던 악성코드, 일본 금융 계정탈취로 대상 확대

국내를 대상으로 악성코드를 유포하던 해킹 조직이 일본까지 진출했다.

하우리(대표 김희천)는 지난 3년간 국내를 대상으로 악성코드를 유포하던 해킹 조직이 일본 인터넷뱅킹 사용자 계정정보를 빼내는 악성코드를 유포했다고 밝혔다.

일본 웹사이트에서 유포된 일본 금융 계정탈취 악성코드가 취약점 공격 차단 솔루션 “바이로봇 APT 쉴드"에서 사전 차단됐다.
일본 웹사이트에서 유포된 일본 금융 계정탈취 악성코드가 취약점 공격 차단 솔루션 “바이로봇 APT 쉴드"에서 사전 차단됐다.

해당 악성코드는 하우리 취약점 공격 사전차단 솔루션 ‘APT 쉴드’ 관제로 일본에서 최초 발견됐다. 다수의 일본 웹사이트에서 어도비 플래시 플레이어 취약점(CVE-2014-0515)을 이용해 유포됐다. 악성코드에 감염되면 일본 인터넷 뱅킹 사이트 접속 시 사용자가 입력한 ID와 비밀번호 등이 해커에 전송된다. 추가로 원격제어 악성코드가 내려받아져 좀비PC가 된다.

국내에서 악성코드를 뿌리던 조직과 동일한 집단의 소행으로 추정된다. 해당 조직은 자체 개발한 기본적인 악성코드 프레임워크를 사용하는데 이번에도 동일한 프레임워크가 사용됐다. 한국에서 온라인 게임 계정 탈취 때 사용한 관련 레지스트리 값과 C&C 프로토콜, 업데이트 방식이 동일하다. 정보 탈취 대상만 일본 인터넷 뱅킹으로 변경했다.

이 조직은 2011년 6월부터 국내에서 주로 온라인 게임 계정 탈취하고 언론사, 포털 등 40여개 이상의 기업 관리자 계정을 빼돌리는 악성코드를 유포했다.

최상명 하우리 차세대보안연구센터장은 “최근 국내에서 악성코드를 유포해 금전적인 수익을 취하던 조직이 악성코드에 대한 대응이 빨라져 수익이 줄어들자 일본으로 무대를 확대한 것으로 보인다”며 “일본에서 쓰던 악성코드 기법을 국내에서 사용할 수 있어 예의주시하고 있다”고 밝혔다.

김인순기자 insoon@etnews.com