울지않는벌새 : Security, Movie & Society

인터넷뱅킹 악성코드 확인 프로그램 "파밍캅(Pharming Cop) 2.0"

벌새::Software

2012년 6월경부터 국내 인터넷뱅킹 이용자를 대상으로 한 악성코드 감염을 통해 가짜 금융 웹 사이트로 납치를 시도하여 개인정보, 공인인증서, 금융 정보를 수집하는 사이버 범죄 행위가 현재까지 활발하게 이루어지고 있습니다.

 

이런 문제로 인해 실제 계좌에 입금된 금전에 자신도 모르게 빠져나가는 피해가 발생하여 경남지방경찰청에서는 파밍캅(Pharming Cop) 프로그램을 개발하여 배포를 한 적이 있습니다.

 

  경찰청 제공 인터넷뱅킹 악성코드 확인 프로그램 "파밍캅(Pharming Cop)" (2013.2.14)

 

당시 초기 버전에서 지적되었던 문제 수정과 기능 추가 및 감염된 사용자에 대한 정확한 안내를 추가하여 이번에 경남지방경찰청에서 "파밍캅(Pharming Cop) 2.0" 버전을 공개하였습니다.

이번에 공개된 파밍캅(Pharming Cop) 2.0 버전에서는 현재까지 범죄 집단에서 악용한 국내 은행, 증권, 정부 기관에 대한 호스트 파일(C:\Windows\System32\drivers\etc\hosts) 변조 여부를 쉽게 확인할 수 있다는 장점이 있습니다.

 

다운로드한 Pharming-Cop_V2.zip 압축 파일 내부에 존재하는 실행 파일(파밍캅V2.exe)을 실행하면, 주의 사항을 통해 인터넷뱅킹 악성코드 감염과 관련된 핵심적인 안내를 하고 있습니다.

해당 내용 중에서 가장 핵심적인 내용은 "① 금융 기관을 이용하기 전에 파밍캅과 보안 제품을 이용하여 검사를 한 후 이용할 것 ② 위험요소가 발견된 PC는 치료 뿐 아니라 반드시 공인인증서를 폐기하고 재발급을 받을 것 ③ 웹 사이트에 보안 카드 번호를 모두 입력하지 않는 것"이 최선의 피해 예방책이라고 할 수 있습니다.

파밍캅(Pharming Cop) 2.0 버전이 실행되면 자동으로 호스트 파일을 체크하여 변조된 정보가 확인될 경우 "비정상"으로 표시하여 경고를 하는 동작을 확인할 수 있습니다.

실제로 인터넷뱅킹 악성코드에 감염된 사용자가 국민은행 웹 사이트를 방문할 경우에는 홍콩(HongKong)에 등록된 특정 IP 서버로 연결이 이루어지며, 동일하게 제작된 웹 사이트에서는 금융 정보를 입력하게 하여 차후 금전적 피해를 유발할 수 있습니다.

 

그러므로 파밍캅(Pharming Cop) 2.0 프로그램에서 위험요소가 발견되었다는 메시지가 표시될 경우에는 "파일 변경에 동의합니다." 체크 박스에 체크를 한 후 "제거" 버튼을 클릭하면 변조된 호스트 파일을 수정하여 파밍(Pharming) 사이트로 연결되지 않도록 할 수 있습니다.

또한 사용자는 반드시 국내외 유명 보안 제품을 이용하여 정밀 검사를 통해 감염된 악성 파일을 찾아 삭제(치료)를 하셔야 합니다.(※ 만약 파밍캅 프로그램으로 호스트 파일만 수정한 후 인터넷뱅킹을 이용할 경우 피해를 볼 수 있습니다.)

 

특히 사용자가 이용하는 보안 제품에서 악성 파일을 발견하지 못한 경우에는 절대로 인터넷뱅킹 서비스를 이용하지 마시고, 보호나라 또는 국내 보안 업체의 도움을 받아 PC 점검을 받으시기 바랍니다.

 

  <nProtect 대응팀 공식 블로그> [주의]국내 인터넷 뱅킹용 악성파일 BHO 기능 겨냥 (2012.10.8)

 

그 외에도 인터넷뱅킹 악성코드 중에서는 호스트 파일 변조가 아닌 브라우저 도우미 개체(BHO) 기능을 이용하여 파밍(Pharming) 사이트로 납치를 시도하는 사례도 있었으므로 파밍캅 프로그램에서는 정상으로 표시하여도 실제로는 감염된 상태일 수 있습니다.

 

위와 같은 인터넷뱅킹 악성코드에 감염되지 않도록 근본적인 예방 방법으로는 다음의 4가지 예방법에 대한 글을 참고하여 Windows를 비롯한 응용 프로그램 보안 패치와 신뢰할 수 있는 프로그램을 사용하시길 바랍니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (1) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (2) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (3) (2013.3.17)

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)

 

다른 악성 파일과 다르게 인터넷뱅킹 악성코드는 감염으로 인해 막대한 재산상의 피해를 가져올 수 있으므로 인터넷뱅킹 서비스를 이용할 때에는 한 번 더 주의를 기울이는 습관이 필요하겠습니다.

 

■ Avira 오진 문제 : TR/Crypt.TPM.Gen

 

현재 해외 무료 백신 Avira 제품을 사용할 경우 파밍캅(Pharming Cop) 2.0 실행 파일(MD5 : 76804f78186d4ecf34e281423148b878)에 대하여 TR/Crypt.TPM.Gen 진단명으로 오진을 하는 문제가 있습니다.

 

이는 실행 파일에서 사용된 패커(Packer)로 인한 진단 문제이므로 진단 제외 처리를 하시고 이용하시기 바랍니다.