미국 소셜네트워크(SNS) 핀터레스트를 명령&제어(C&C) 서버로 사용하는 새로운 악성코드가 나타났다. 트렌드마이크로는 국내 인터넷뱅킹 사용자를 노리는 중국발 악성코드가 보고됐다고 밝혔다.
이 악성코드에 감염되면 개인정보를 빼내는 가짜 인터넷뱅킹 사이트(파밍)로 연결된다. 관련 악성코드는 C&C채널로 핀터레스트를 쓴다. 공격자는 핀터레스트 페이지에 메시지를 남겨 사용자가 각각 다른 가짜 서버로 연결되도록 조작한다. 악성코드는 웹브라우저를 모니터링하고 있다가 사용자가 공격 대상 인터넷뱅킹 사이트에 접속하면 가짜 사이트로 연결한다.
트렌드마이크로는 등록된 문자열에서 ‘ABCD’를 ‘.’으로 변환해 가짜 서버 IP 주소를 확인했다. 이를 통해 공격자가 탐지를 피하기 위해 가짜 서버 IP 주소를 얼마나 빠르게 바꾸고 있는지 알아냈다. 현재 해당 IP는 관계기관과 협력하여 차단된 상태다.
공격자는 해킹된 웹사이트를 방문하는 사용자에게 익스플로잇 킷을 설치하는 방식으로 악성코드를 유포한다. 취약점의 동작 방식을 설명하는 중국어 메모가 익스플로잇 코드에서 발견됐으며, 해킹된 웹사이트와 악성코드 통신 분석에 ‘51yes.com’이라는 중국의 웹 트래픽 통계 서비스가 사용된 점 등 여러 증거를 종합해 봤을 때 이는 중국발 공격으로 유추된다.
트렌드마이크로는 인터넷뱅킹 사용 시 보안 강화나 승급 등을 이유로 개인정보 입력을 요구하는 경우는 파밍임으로 주의를 당부했다. 악성코드에 감염되지 않기 위해 컴퓨터를 최신 상태로 유지하고 백신 프로그램을 업데이트하는 등 보안에 각별한 주의가 필요하다.
김인순기자 insoon@etnews.com
