본문 바로가기

벌새::Security

Trojan-Spy/W32.KRBanker 전용 백신 (금융감독원 버전) 배포 안내 (2011.5.27)

국내 보안 업체 (주)잉카인터넷(INCA Internet)에서 5월 26일 국내 27개 금융권 사이트의 인터넷 뱅킹을 통한 이용시 금융 정보를 수집하여 외부로 탈취를 시도하는 악성 파일이 공식적으로 발견되었다는 발표를 하였습니다.

출처 : nProtect 홈페이지

해당 악성 파일에 감염된 PC가 국내 금융권 사이트에서 제공하는 인터넷 뱅킹을 이용할 경우 자동으로 접속 여부를 체크하여 동작을 시작하며, 인터넷 뱅킹 사용 과정에서 사용자 PC(또는 USB)에 저장된 공인 인증서 파일, 공인 인증서 비밀번호, 계좌 비밀번호, 보안 카드 비밀번호, OTP 등 금융 정보를 수집하여 외부로 유출할 가능성이 있습니다.

해외의 경우 제우스(Zeus)를 이용한 금융 정보를 수집하여 실제 엄청난 금액을 탈취하는 사고가 빈번하게 발생하고 있는 과정에서 국내 금융권만을 표적으로 한 이번 공격은 이미 예전부터 이루어졌던 것으로 추정되며 추가적인 변종도 발견되고 있다고 알려져 있습니다.

이에 nProtect에서는 해당 악성 파일의 진단 및 치료를 지원하는 nProtect Anti-Virus for Trojan-Spy/W32.KRBanker_Packed (20110526) 전용 백신을 현재 배포 중에 있습니다.

해당 전용 백신을 다운로드하여 실행을 하면 WinZip 자동 압축 해제를 통해 실행이 이루어지도록 구성되어 있습니다.

다음 단계에서는 검사 영역을 선택할 수 있으며, 기본 검사 또는 전체 검사를 이용하여 검사를 진행하시기 바랍니다.

검사 시작 전 만약 사용자 PC에서 금융 정보 탈취 목적의 악성 파일(Trojan-Spy/W32.KRBanker)이 발견되어 치료를 할 경우 해당 치료 정보는 전송이 된다고 안내창을 생성합니다.(※ 아마 현재 해당 악성 파일에 감염된 감염률을 확인하기 위한 목적으로 추정됩니다.)

여기에서 아쉬운 점은 사용자 PC 정보를 외부로 전송하는데 있어서 어떠한 이용약관 등을 제시하지 않는다는 부분은 아쉬움이 있습니다.

검사가 완료되어 사용자 PC에서 어떠한 진단도 발견되지 않은 경우에는 그림과 같이 확인 버튼을 클릭하면 전용 백신을 종료할 수 있습니다.

해당 전용 백신을 Windows 7에서 테스트하는 과정에서 검사 완료 후 종료시 그림과 같이 프로그램 호환성 관리자 창이 생성되며 재설치를 권장하는 메시지가 나올 수 있으므로, 취소 버튼을 클릭하여 그대로 종료를 하시면 문제가 해결됩니다.


[전용 백신 사용시 유의 사항]

1. 전용 백신은 업데이트 기능이 없으므로 반드시 1회 검사 후 일정 시간이 경과하여 재검사를 하실 때에는 다시 다운로드를 하여 이용하시기 바랍니다.

2. 사용자 PC에 이미 설치된 실시간 감시를 지원하는 보안 제품의 실시간 감시를 임시로 OFF를 하시고 전용 백신을 이용하여 검사를 진행하시기 바랍니다.

3. 전용 백신은 특정 악성코드만을 전문적으로 진단 및 치료를 지원하므로, 평상시에는 실시간 감시를 지원하는 보안 제품을 이용하시기 바랍니다.


이번에 발견된 Trojan-Spy/W32.KRBanker 악성코드는 과거 국가 차원에서 이루어진 적대적 관계의 국가 공격에서 사용된 파일과 유사성이 강한 것으로 보이는 것으로 추정됩니다.

또한 현실적으로 이런 류의 악성 파일에 감염되어 금융 정보가 외부로 유출되고 금전적 손실이 실제 발생하였을 경우, 금융권에서는 개인의 관리 부주의로 인한 문제로 치부하여 보상이 이루어지지 않거나 문제 해결에 오랜 시간이 소요될 수 있으므로 인터넷 뱅킹을 이용하시는 분들은 더욱 주의하시기 바랍니다.

  • 과거 국가 차원에서 이루어진 적대적 관계의 국가 공격에서 사용된 파일과 유사성이 강한 것으로 보이는 것으로 추정됩니다 --> 추정이신가요 ? 아니면 어떤 근거가 있는건지요 ?