국내 금융권을 겨낭한 한글 ‘제우스 봇넷’ 파일이 처음 발견돼 금융 서비스 이용자의 각별한 주의가 요망된다.
이번에 발견된 제우스 봇넷 악성 파일은 국내 인터넷뱅킹 사용자들을 정조준해 한글로 제작됐을 뿐만 아니라 국민은행을 비롯한 27개 국내 대부분의 주요 인터넷뱅킹 사이트를 겨냥하고 있다는 점에서 충격을 준다.
26일 잉카인터넷은 이번 발견이 제우스 봇넷의 국내 공격 첫 공식 사례라고 밝히고, 경보 발령과 함께 피해 예방을 위한 주의를 당부했다.
문종현 잉카인터넷 분석대응팀장은 “일부 제우스 봇넷 샘플 파일로 인해 지난해 9월 초 국내에서도 감염된 사례가 있지만 이번 사례는 한글로 위장한 첫 사례인 데다 매우 지능적인 형태를 띤다는 점에서 각별한 주의가 요구된다”고 말했다.
이번에 발견된 제우스 봇넷이 겨냥하고 있는 국내 27개 금융기관은 국민·우리·외환·기업·하나·신한·한국씨티·SC제일·대구·경남·전북·광주·부산·제주·HK저축·농협·수협·현대스위스저축·제일상호저축·신협·산업·솔로몬저축·상호저축·토마토저축·푸른저축은행과 새마을금고, 우체국예금보험 등으로 제1·2 금융권, 우체국 등 사용자가 많은 기관이 두루 포함됐다.
제우스 봇넷 악성 파일은 인터넷뱅킹 사용자의 △공인인증서(NPKI) 파일과 비밀번호 △입금계좌 비밀번호 △보안카드 비밀번호 △일회성 비밀번호(OTP) 등을 탈취한다. 이를 통해서 사용자의 개인 예금을 불법 인출할 수 있다. 특히 이번에 발견된 악성 파일은 인터넷뱅킹 이용에 사용하는 인증서 로그인 입력창을 화면 그대로 복제, 허위로 출력하는 등 고도로 지능화됐다.
해당 악성파일이 실행되면 몇 가지 작동 조건을 수행한 후에 내부코드에 지정된 국내 은행과 관련된 인터넷 익스플로러 창이 활성화되는 조건 등을 실시간 감지하게 되며, 은행별로 공인인증서, 계좌번호, 보안카드 번호 탈취 등 악의적 동작을 수행하도록 설계돼 있다.
악성 파일은 이외에도 △이메일 발송 기능 △FTP 사용 기능 △IP 체크 기능 △시스템 정보 수집 기능 △P2P 기능 △윈도 방화벽 정책 설정 기능 △브라우저 숨김 기능 △안티 바이러스 방해 기능 등을 갖췄다.
문 팀장은 “제우스 봇넷 금융보안 위협은 각 금융기관에서 공격 사례를 면밀히 검토해 예방안을 수립하는 것이 중요하다”며 “사용자 개인도 기본적인 보안 수칙 등을 따르는 것이 최선의 방책”이라고 말했다. 또 “국내 주요 은행 인터넷뱅킹의 브라우저 타이틀 등을 악용하고 있다는 점에서 인터넷뱅킹 서비스업체에서 정기적으로 타이틀 창을 변경하거나 가변적으로 보이도록 적용한다면 이러한 방식의 공격에 예방 효과가 있을 것으로 기대한다”고 덧붙였다.
한편 제우스 봇넷는 지난 2007년 러시아에서 처음 개발한 것으로 추정되는 온라인뱅킹 정보 탈취 악성코드로, 지난해 유럽에서만 약 7000만달러 규모의 금융 사고를 일으킨 바 있다.
장윤정기자 linda@etnews.co.kr
