국내 금융 이용자를 겨냥해 계좌정보와 암호는 물론이고 디지털 인증서까지 탈취하는 악성코드가 기승을 부려 주의가 요구된다.
보안 업체인 시만텍은 30일 금융 정보 유출로 계좌 정보에 접근할 수 있는 트로이목마 `카스토브`가 유포되고 있다고 경고했다.
이 악성코드는 공격용 툴킷 `공다`를 통해 배포되고 있는데, 시만텍 분석 결과 공격의 98%가 한국에 집중된 것으로 나타났다.
공격자는 사전에 국내 온라인 금융 환경에 대해 조사한 후 이를 바탕으로 국내 금융 기업과 그 고객들을 겨냥해 트로이목마 `카스토브`를 유포한 것으로 분석된다.
공격은 크게 2단계로 이뤄진다. 1차 악성코드가 침투하면 안티바이러스 소프트웨어 구동을 멈추게 한다. 이후 명령제어(C&C) 서버에 감염 상황을 보고하고 암호화된 파일을 다운로드시킨다. 이 파일은 다시 국내 모든 온라인 뱅킹 소프트웨어 및 보안과 관련된 리스트를 검색해 정보를 탈취한다. 암호, 계좌정보, 거래내역은 물론 NPKI 폴더에 저장된 디지털 인증서도 수집하기 때문에 금전적 피해에 노출될 수 있다.
윤광택 시만텍코리아 이사는 “공격자들의 수법이 정교해지고 있기 때문에 금융기관은 취약점을 지속적으로 개선해야 한다”고 강조했다.
윤건일기자 benyun@etnews.com
