광활한 인터넷 공간에 '디지털 소매치기'들이 기승을 부리고 있다.
'악성 프로그램'을 앞세운 디지털 소매치기들은 금융기관 사이트 접속 때 사용하는 계좌번호, 패스워드 같은 개인 정보를 쥐도 새도 모르게 채 가 버리는 것이 특징. 한 때 만원버스나 복잡한 공공장소에서 횡행했던 소매치기를 연상케 할 정도로 재빠른 손놀림을 자랑하고 있다.
◆ 금융기관 암호망 무력화
C넷은 29일(현지 시간) 보안 전문가를 인용, 지난 주말 등장한 악성 바이러스가 시티뱅크, 바클레이스 뱅크(Barclays Bank), 도이치뱅크 등 50개 금융 사이트 방문자를 타깃으로 하고 있다고 보도했다.
'트로이 목마' 형태의 이 프로그램은 교묘한 '디지털 소매치기 수법'을 자랑한다. 키보드를 '도청'해 패스워드와 계좌번호 같은 고급 금융정보를 손쉽게 빼내는 것.
키보드 입력 정보가 PC에 전달되기 전에 중간에서 채 가 버리기 때문에 금융기관의 암호망이 아무런 힘을 발휘하지 못한다고 전문가들은 설명하고 있다.
네트워크 모니터링 전문 기관인 인터넷 스톰 센터(ISC)의 책임자인 마르쿠스 사스는 "(이 프로그램은) 타깃이 된 사이트 중 하나에 접속하게 되면 사용자들의 키보드 입력내용을 그대로 가로채는 키로깅(key logging)을 시작한다"고 경고했다.
사스는 "키보드와 컴퓨터 사이에는 암호화되지 않는다"면서 "(데이터가 컴퓨터 밖으로 나와) 웹에 올라갈 때만 암호가 적용된다"고 설명했다. 결국 이번 프로그램은 금융기관 사이트들이 데이터 보안 작업을 하기 전에 금융 정보를 빼내가 버린다는 얘기다.
◆ 지난 주말 첫 발견
'img1big.gif'란 확장자를 달고 유포되는 이번 트로이목마 파일은 지난 주말 처음 발견됐다. 팝업창을 통해 유포된 이 프로그램은 인터넷 익스플로러의 보안 결함을 이용, 사용자들의 PC에 자동 인스톨되는 것으로 알려졌다.
ISS의 보안 전문가들은 지난 주말 출현한 이 바이러스를 정밀 조사, 시티뱅크를 비롯한 주요 금융 기관 고객들의 계좌 정보를 노린다는 사실을 밝혀냈다.
특히 이번 바이러스가 눈길을 끄는 것은 최근 새로운 트렌드로 떠오르고 있는 '원격 접속 트로이목마(RAT)' 형식이라는 점. RAT를 이용한 바이러스들은 주로 돈을 노린다는 것도 이전 바이러스들과는 다른 점이다.
보안전문가들은 이미 지난 4월 "사세르, 블래스터웜 같은 대형 바이러스보다 가정용 PC에 숨어 있는 좀비가 더 위험하다"고 경고한 바 있다. 좀비란 컴퓨터가 자신도 모르게 바이러스에 감염돼 다른 사람들의 컴퓨터를 공격하는 것을 말한다.
보안회사인 시만텍의 보안응답센터 수석 관리자인 올리버 프리드리히는 "과거에는 금융정보를 빼가는 가장 확실한 방법은 사기 수법이었다"고 강조했다. 하지만 그는 최근 들어 트로이목마같은 적극적인 '디지털 소매치기' 수법이 잇달아 등장하고 있다며 각별한 주의를 촉구했다.
◆ 브라우저 통과전 금융정보 가로채
이번에 출현한 '트로이 목마'는 .gif 확장자를 갖고 있는 것이 특징. 인터넷에 일반적으로 등장하는 압축 그래픽 파일 형태를 띠고 있는 것이다.
이 프로그램은 ▲사용자의 이름과 패스워드를 채가는 '브라우저 핼퍼(browser helper)' ▲사용자들의 PC에 키워드 로거(keyword logger)를 설치하는 '파일 드로퍼(file dropper)' 등 2종류로 구성돼 있다. 키워드 로거는 컴퓨터 실행파일에 잠복해 있다가 키보드로 입력하는 내용을 그대로 가로채가는 역할을 한다.
'브라우저 핼퍼'는 인터넷 익스플로러의 결함을 이용해 활동한다. 반면 '파일 드로퍼'는 대부분의 브라우저에 있는 '핼퍼 파일' 기능을 이용해 데이터를 가로챈다고 C넷이 전했다.
마르쿠스 사스는 "데이터가 당신의 브라우저를 통과하기 전에 핼퍼파일을 통해 채가게 된다"면서 "이번 프로그램은 모든 브라우저에 있는 핼퍼 파일을 이용해 암호를 무력화하는 것이 특징이다"고 설명했다.
트로이 목마는 금융정보를 수집한 뒤 인터넷 서버에 있는 프로그램을 이용해 암호화하게 된다. 그 뒤 이 데이터를 해커들에게 바로 보내버리는 방법으로 운영된다.
◆ 대형 금융기관 집중적으로 노려
마이크로소프트(MS) 측은 디지털 소매치기를 막기 위해 브라우저의 보안 수준을 높이라고 권고하고 있다. 하지만 아직 이 문제를 해결할 패치는 내놓지 않고 있다고 C넷이 전했다.
금융 정보를 중간에서 가로챈 뒤 거액을 인출해 가려는 신종 바이러스. 이번에 출현한 이 바이러스는 시티뱅크를 비롯한 미국의 대형 금융 기관 고객들을 집중적으로 노리고 있다는 점에서 또 다른 공포의 대상으로 떠오르고 있다.
이제 인터넷 사용자들은 각종 스팸, 바이러스와 함께 '디지털 소매치기'의 위협에까지 무방비 상태로 노출되고 있다.
김익현기자 sini@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기