인터넷 뱅킹 정보 빼내는 새 트로이목마 주의!

　인터넷 뱅킹 계좌 정보를 빼내는 새로운 트로이목마 ‘Oddjob’이 등장해 사용자들의 주의가 요구된다.

　23일 컴퓨터월드는 동유럽 사이버 범법자들이 미국 온라인 뱅킹 계좌에서 개인 금융정보를 훔치는 새로운 악성코드를 사용하고 있다고 보도했다.

　보안회사 트러스트어의 아밋 케빈 CTO는 “이 트로이목마는 ‘Oddjob’으로 불리며 최소한 2개 이상의 다른 악성코드 형태로 확산되고 있다”고 말했다.

　Oddjob은 사용자의 온라인 뱅킹 세션에서 ID토큰세션을 실시간으로 가로채도록 설계됐다.

　은행이 발행한 토큰은 온라인 뱅킹 세션에서 사용자를 식별하는데 사용된다. 해커들은 이 토큰을 훔치며 진짜 사용자가 계좌를 사용하는 중에도 그들처럼 온라인 계정에 접속할 수 있다.

　케빈 CTO는 “이 악성코드는 기본적으로 해커가 피해자와 세션을 공유하게 한다”며 “해커는 피해자의 모든 활동을 볼 수 있다”고 말했다.

　Oddjob의 특이한 기능은 사용자가 온라인 뱅킹 계좌를 로그아웃했다고 생각하게 만든 후 그대로 로그인 상태로 놔두는 점이다. 이 기능은 사용자가 온라인 뱅킹을 마쳤다고 생각하는 시점에도 해커가 돈을 인출할 수 있게 한다.

　Oddjob은 미국, 폴란드, 덴마크의 12개 특정은행 고객으로부터 ID 토큰 세션을 훔치도록 개발됐다. 피해자가 마이크로소프트 IE나 모질라 파이어폭스로 계좌에 로그인할 때 Oddjob은 그들의 ID 토큰 세션을 훔친다. 이후 실시간으로 접근제어통제(C&C) 서버와 연결해 해킹을 감행한다.

　대부분의 뱅킹 트로이목마와 달리 Oddjob은 사용자 시스템에 다운로드 되면 구성코드를 디스크에 저장하지 않는다. 대신 새로운 브라우저 세션을 열 때마다 C&C 서버로부터 새로운 구성 코드를 전달한다.

김인순기자 insoon@etnews.co.kr