최근 금융 당국에서는 인터넷뱅킹 악성코드 감염으로 인하여 사용자가 보관 중인 공인 인증서가 외부에 유출된 것을 확인하고 일괄 폐기하는 특단의 조치를 취했다는 소식이 있었습니다.
▷ <nProtect 대응팀 공식 블로그> [추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체 (2013.2.4)
▷ <이데일리> 공인인증서 무더기 해킹..금융결제원, 461개 자체 폐기 (2013.2.11)
작년(2012년) 6월경부터 국내 인터넷 사용자를 대상으로 무차별적으로 유포가 이루어지고 있는 다양한 인터넷뱅킹 악성코드는 감염시 사용자가 정상적인 금융권 웹 사이트에 접속하여도 유사하게 제작된 가짜 웹 사이트로 이동하는 파밍(Pharming) 수법으로 인해 실제 금전적 피해가 발생하고 있는 것으로 알려져 있습니다.
▷ <경남지방경찰청> 신종 금융사기 파밍 예방프로그램 "파밍캅" 개발 (2013.2.14)
이에 따라 경남지방경찰청에서는 신종 금융 사기를 유발하는 파밍 행위를 예방할 목적으로 파밍캅(Pharming Cop) 프로그램을 제작하여 공개하였습니다.(※ 경남지방경찰청 링크를 통해 게시된 글의 첨부 파일을 다운로드하시기 바랍니다.)
이 글에서는 파밍캅(Pharming Cop) 프로그램의 사용 방법, 실제 효과, 유의할 점에 대해 실제 사례를 통해 살펴보도록 하겠습니다.
파밍캅(Pharming Cop) 프로그램의 사용 방식은 금융 서비스를 이용하기 전에 파밍캅(Pharming Cop) 프로그램을 실행하여 좌측 그림과 같이 "위험 요소 발견되지 않음"이라고 표시되는지 확인하는 기능을 제공합니다.
만약 사용자 시스템이 인터넷뱅킹 악성코드에 감염된 환경이라면 우측 그림과 같이 "위험요소 O개가 발견됨"이라는 메시지와 함께 접속시 납치가 이루어지는 금융권 웹 사이트를 "비정상"으로 표시하고 있습니다.
해당 악성코드에 감염될 경우 특정 서버로부터 호스트 파일(hosts) 변조를 위한 값을 받아오며, 특정 서버로부터 추가적인 다운로드를 시도하는 것으로 추정되지만 현재는 정상적인 연결이 이루어지지 않고 있습니다.
피싱및 해킹(전화금융사기)인한 금융사기가 지속적으로 발생하고 있습니다. 12월17일부터 모든 은행권에서 전자금융사기 예방서비스를 시행하고있습니다.좀더 안전한 이용을 위해 고정된 보안카드보다는 매 32초마다 새로운 난수를 자동 생성하는 일회용비밀번호생성기(OTP) 이용해 주시기바랍니다.
또한 감염된 환경에서는 "웹 페이지의 메시지" 창을 생성하여 사용자로 하여금 금융 사이트에 접속하도록 유도하는 수법도 동원되고 있습니다.
감염된 환경에서 "C:\WINDOWS\system32\drivers\etc" 폴더 내부를 확인해보면, 정상적인 상태에서 존재해야 할 호스트 파일(hosts)이 사라진 것을 확인할 수 있습니다.
이는 악성코드가 호스트 파일(hosts) 변조 과정에서 속성을 시스템(S), 숨김(H) 속성값으로 수정하여 사용자가 호스트 파일 변조를 눈치채지 못하게 할 목적으로 보입니다.
실제 숨어있는 호스트 파일(hosts)을 열어보면 KB국민은행, 농협, 새마을금고, 우체국, IBK 기업은행, 우리은행에 접속할 경우 가짜 금융권 사이트로 연결되도록 수정되어 있습니다.
여기에서 한 가지 짚고 넘어갈 부분은 파밍캅(Pharming Cop) 프로그램에서 비정상으로 표시하는 금융권 사이트 목록과 비교를 해보면 "우리은행"의 경우에는 "정상"으로 표시하는 문제를 발견할 수 있습니다.
위와 같은 PC 환경에서 사용자가 인터넷뱅킹을 이용하기 위해 파밍캅(Pharming Cop) 프로그램을 실행할 경우 감염된 상태임을 확인할 수 있으며, "제거" 버튼을 클릭하여 문제가 되고 있는 파밍(Pharming) 사이트로 연결되는 부분을 치료(제거)하는 것이 이 프로그램의 목적입니다.
또한 메시지의 마지막 안내창에서는 "백신과 같이 사용하시면 더욱 효과적입니다."이라는 문구는 분명하게 짚고 넘어갈 부분입니다.
제거를 완료한 후 파밍캅(Pharming Cop) 프로그램을 재실행해보면 모든 것이 정상으로 표시되고 있으므로 사용자는 문제가 해결된 것으로 오해할 소지가 있습니다.
실제 일정 시간이 경과하면 사용자 PC에 감염된 상태로 존재하는 악성 파일은 호스트 파일(hosts)을 체크하여 재감염을 유발하는 동작을 확인할 수 있습니다.
게다가 최초 감염시 등록된 호스트 파일(hosts) 파일 정보와 비교해보면 일부 IP 정보가 변경(122.10.48.245 → 122.10.39.88)되는 업데이트까지 이루어지고 있음을 확인할 수 있습니다.
이처럼 파밍캅(Pharming Cop) 프로그램은 사용자가 금융권 서비스를 이용할 때 호스트 파일(hosts)의 변조 여부를 체크하여 인터넷뱅킹 악성코드의 감염 여부를 확인하는 수준에는 일정 부분 도움이 될 수 있습니다.
하지만 일부 인터넷뱅킹 악성코드는 브라우저 도우미 개체(BHO) 방식으로 동작하여 호스트 파일을 변조하지 않는 사례도 있다고 알고 있으며, 이런 경우에는 파밍캅(Pharming Cop) 프로그램이 유효하지 않을 수도 있으리라 추정됩니다.
그러므로 파밍캅(Pharming Cop) 프로그램을 통해 감염이 확인된 경우에는 제거 기능을 이용하지 마시고, 반드시 Anti-Virus 제품을 이용하여 정밀 검사를 통해 악성 파일을 찾아 제거하시는 것이 가장 안전한 방법입니다.
참고로 AhnLab Next V3 보안 제품의 경우 해당 파일을 진단하지 못하는 상태에서 사용자에 의한 대응 방법을 간단하게 살펴보도록 하겠습니다.
(1) "클라우드 평판 → 동작중인 프로세스" 영역에 o1yes.exe 파일(사용자 평판 : 붉은색)이 존재할 경우 체크하여 "차단"으로 지정합니다.
차단으로 지정된 파일은 User/Gen.Block 진단명으로 실시간 감시 및 수동 검사에서 진단 및 치료를 지원합니다.
(2) "네트워크 방역"의 "의심 사이트 관리"에 등록된 목록 중 o1yes.exe 프로그램이 연결한 주소를 찾아 체크하여 "차단"으로 지정합니다.
이를 통해 악성 파일이 업데이트된 호스트 파일(hosts) 정보를 더 이상 받아올 수 없도록 차단할 수 있습니다.
경찰청에서 제공하는 파밍캅(Pharming Cop) 프로그램은 급격히 증가하는 금융 정보 탈취를 목적으로 하는 악성코드에 대응하기 위한 하나의 도구이므로 프로그램을 이용하여 감염 여부를 참고하는데 이용하시기 바랍니다.
또한 인터넷뱅킹 악성코드 유포 방식이 사용자가 정상적인 인터넷 웹 사이트에 접속할 경우, Adobe Flash Player, Oracle Java, Windows 보안 패치가 제대로 이루어지지 않은 경우 자동으로 감염시키는 방식을 이용하고 있으므로 반드시 최신 버전으로 업데이트하시고 인터넷을 이용하시기 바랍니다.