온라인 개인 정보 훔치는 ‘시노월 트로이목마’ 확산

시노월 트로이목마 감염 URL, 무려 2천7백 개가 넘어

RSA 프로드액션 리서치랩(RSA FraudAction Research Lab)에서 인터넷 상의 개인 정보 및 금융 정보를 빼가는 ‘시노월 트로이목마(Sinowal Trojan)’의 피해가 지속적으로 증가하고 있다는 결과가 나왔다.

RSA 프로드액션 리서치랩이 지난 3년간 조사한 결과에 따르면, 2006년 2월 첫 출현한 시노월 트로이목마를 통해 지난 3년간 약 30만개의 온라인 은행계좌와 그에 버금가는 숫자의 신용카드 및 직불카드 정보가 유출됐으며, 이메일이나 웹사이트 FTP 계정과 같은 개인 정보가 유출, 해킹된 것으로 파악됐다.

▲ 월별 시노월 트로이목마 변종의 증가 추이 ⓒRSA

일명 ‘멥루트(Mebroot)’ 또는 ‘토피그(Torpig)’로도 알려진 시노월 트로이목마는 흔적을 남기지 않고 타깃 컴퓨터를 감염시킨다. 시노월 트로이목마를 퍼뜨리고 있는 범죄자들은 고도로 정교한 악성 크라임웨어를 만들어냈을 뿐만 아니라, 안정적인 잠복형 커뮤니케이션 인프라를 운영하고 있다.

이 인프라는 무려 3년간 시노월 트로이목마를 통해 주기적으로 개인 정보를 수집, 발송하고, 이렇게 탈취된 개인정보를 특정 저장소에 체계적으로 저장해오고 있는 것으로 밝혀졌다.

시노월 트로이목마는 이처럼 오랜 기간 생명력을 유지하며 활동하고 있는 것 외에도 무수한 변종을 낳으며 놀랄만한 속도로 진화하고 있으며, 올해 3월부터 9월까지 시노월 트로이목마의 공격 사례가 급격히 증가하고 있다. 시노월 트로이목마의 개발자는 정기적으로 새로운 변종을 내놓고, 커뮤니케이션 자원 용도로 수 천개의 인터넷 도메인을 등록하고 있다.

▲ 시노월 트로이목마를 통해 해킹당한 온라인 뱅킹 정보의 증가 추이 ⓒRSA

시노월 트로이목마는 일단 컴퓨터로 다운로드되면 HTML 인젝션(injection) 기능을 통해 새 웹 페이지나 정보 필드를 감염된 컴퓨터의 인터넷 브라우저에 띄우는데, 외관상 매우 정교하게 합법적인 웹 페이지와 유사해 사용자가 로그인 정보, 금융 정보 및 개인 정보를 입력하도록 유도한다.

놀라운 것은 시노월 트로이목마를 감염시키는 특정 URL이 무려 2천7백 개가 넘는 것으로 조사돼 컴퓨터 사용자가 전세계 수백개의 금융기관의 웹사이트에 액세스할 때 위험에 노출되는 것을 의미해 심각성을 더하고 있다.

한편, 시노월 트로이목마와 관련해 전세계적으로 27개국에서 피해 사실이 보고되었으며, 최근 6개월 동안 무려 10만여 건의 로그인 정보 및 온라인 계정(online account) 정보를 해킹한 것으로 조사됐다.

[오병민 기자(boan4@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)