세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
국내 광고 프로그램 업데이트 서버 해킹! 메모리해킹 악성코드 유포
  |  입력 : 2017-04-19 10:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
광고 프로그램 업데이트 프로그램 변조...금융정보·공인인증서 탈취
PC의 DNS 서버 주소 변경해 사용자 파밍 사이트로 유인


[보안뉴스 권 준 기자] 최근 국내 유명 광고 프로그램의 업데이트 서버가 해킹되어 해당 광고 프로그램의 업데이트 프로그램이 변조된 후, 메모리해킹 방식의 악성코드가 유포되고 있는 것으로 드러났다.


메모리해킹 악성코드를 유포하고 있는 국내 유명 광고 프로그램은 자체적으로 또는 특정 소프트웨어를 설치될 때 부가적으로 설치되는 형태로, 설치 후에는 자동으로 광고가 나타나도록 하는 방식이다. 해당 광고 프로그램의 업데이트 프로그램을 변조해 국내 인터넷 뱅킹 사용자의 금융정보를 가로채는 메모리해킹 악성코드가 유포된 것으로 분석됐다.

메모리해킹 악성코드는 사용자가 인터넷 금융 서비스를 이용할 때 개인정보가 메모리에 일시적으로 평문 형태로 저장되고 있는 점을 고려해 이 상태의 금융정보를 변조하거나 탈취하는 악성코드이다. 정상적인 인터넷 뱅킹 과정 중에 악성 행위가 수행되므로 피해자인 인터넷 뱅킹 이용자는 피해 사실을 감지하기 매우 어렵다.

이 사실을 발견해 본지에 제보한 순천향대 사이버보안연구센터(센터장 정보보호학과 염흥열 교수, 이하 센터)에 따르면 센터에서 발견한 메모리해킹 악성코드는 일반적으로 특정 백신을 우회하며 감염 PC의 시스템 정보와 인터넷 뱅킹 사용자의 금융정보 탈취를 목적으로 하고 있다. 악성코드는 탈취한 시스템 정보 및 금융정보를 해커의 명령제어 서버로 전달한다. 이후에도 지속적으로 특정 공격자 서버로 접속해 추가적인 악성행위가 이루어지는 것으로 분석됐다.

이번에 문제가 된 국내 유명 광고 업데이트 서버는 지난 3월 말에 해킹된 적이 있으며, 관리자 계정의 탈취로 추정되어 이 상태가 반복될 가능성이 다분히 클 것으로 보인다. 센터 측은 추가 피해를 막기 위해 한국인터넷진흥원에 긴급 신고를 통해 피해 확산 조치를 취하고 있다고 밝혔다.

공격 시나리오는 해커가 국내 유명 광고 업데이트 서버를 해킹해 광고 프로그램의 정상 업데이트 서버에서 업데이트 프로그램을 다운로드 받아 사용자 컴퓨터에 설치되는 것이 아니라, 사용자를 해커가 미리 설정한 가짜 업데이트 서버로 유도해 메모리해킹 악성코드가 포함되어 있는 가짜 업데이트 프로그램을 설치하게 하는 방법이다.

이번 메모리해킹 악성코드는 사용자의 컴퓨터의 DNS 서버 주소를 변경해 사용자을 파밍 사이트로 유인해 사용자로부터 추가 금융정보 입력을 유도하고 있다. 구체적으로 보안 강화 및 추가 인증 등을 통해 사용자의 금융정보를 입력을 유도하며, 사용자 PC 내에 있는 존재하는 NPKI 및 GPKI 폴더 내에 저장되어 있는 공인인증서 파일까지 탈취한다.


해당 샘플의 MD5 값은 5780e3ccbad0557d2b464d72e3d068f2로, DNS 서버 변경을 이용해 사용자에게 금융정보를 입력을 유도하는 파밍 사이트로 이동시키고 있다.

센터의 이민희 연구원은 “인터넷 뱅킹 이용 시 오류로 인해 갑자기 거래가 종료되거나, 보안 강화 등의 이유로 추가적인 보안카드 번호 입력을 요구하는 경우 악성코드로 인한 금융 정보 유출을 의심해야 한다”며, “온라인 광고 프로그램 제공 사이트의 보안 강화와 점검이 필요하다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)