계좌정보 바꾸는 메모리 해킹 악성코드 급속 유포

전자금융 거래에 치명적인 위협으로 알려진 메모리 해킹용 악성코드가 급속히 확산되고 있어 대책 마련이 시급하다. 공격자는 국내 금융권이 사용 중인 보안 솔루션을 우회한 기술을 획득한 것으로 파악된다.

이스트소프트(대표 김장중)는 지난 26일부터 국내 애드웨어 모듈에 메모리 해킹 기능이 들어간 악성코드가 첨부돼 확산 중이라고 밝혔다. 메모리 해킹을 이용한 신종 금융사기는 인터넷 뱅킹 과정에서 사용자가 입력한 계좌와 금액을 변경해 해커가 지정한 계좌로 이체시키는 방법이다. 메모리 해킹 악성코드는 이체정보 변조 외에도 인증서 비밀번호와 이체 비밀번호, 보안카드 번호까지 유출한다.

메모리 해킹 수법 개요도(자료:경찰청 사이버안전국)
메모리 해킹 수법 개요도(자료:경찰청 사이버안전국)

최근 나온 메모리 해킹 악성코드는 이용자가 눈치 채지 못하도록 애드웨어에 몸을 숨겼다. 인터넷 프로그램 자료실에서 특정 소프트웨어를 다운로드 받을 때 애드웨어가 함께 내려온다. 사용자는 소프트웨어 사용을 위해 무심코 애드웨어 내려 받기에 동의한다. 이때 메모리 해킹 악성코드가 PC에 설치된다.

해커는 추가 설치과정이 노출되지 않도록 배포서버 설정을 변경해 언제든지 임의로 파일을 교체한다. 이미 애드웨어는 많은 사람에 설치돼 있는데다 특정 보안 취약점을 이용하지 않아 누구나 감염 대상이 될 수 있다. 애드웨어 업데이트 기능을 통해 언제든지 자유롭게 배포가 가능하다.

공격자는 메모리 해킹 악성코드가 실행되면 원격 호스트로 접속해 암호화된 호스트 파일 데이터를 가져온다. 정상적인 금융사이트 접속시 가짜 사이트로 연결되도록 파밍 설정으로 바꾼다.

이스트소프트는 알약블로그에 “애드웨어 서버 파일을 조작한 이번 방식은 불특정 다수에 부지불식간에 악성파일을 설치할 수 있어 파급 효과가 예상보다 크다”며 “애드웨어에 노출되지 않기 위해 무료 프로그램 이용에 각별히 주의해야 한다”고 설명했다.

김인순기자 insoon@etnews.com