신용카드 정보 노린 파밍 악성코드 경계령


특정 카드사 피싱 페이지 동반, 설 연휴 앞두고 카드관리 주의

[아이뉴스24 김국배기자] 설 연휴를 앞두고 신용카드 정보를 노리는 파밍(Pharming) 악성코드가 발견됐다.

대개 사용자 PC에 저장된 공인인증서 정보와 인터넷 뱅킹 시 이용하는 개인정보를 탈취하는 파밍 공격과 달리 이번엔 신용카드 정보를 겨냥했다. 설 연휴를 앞둔 만큼 신용카드 관리에 각별한 주의가 요구된다.

파밍은 사용자 PC에 악성코드를 감염시켜 피싱 사이트에 접속하도록 유도하고 금융 정보, 개인정보 등을 탈취하는 사이버 공격을 말한다.

19일 안랩에 따르면 최근 특정 카드사로 위장한 피싱 페이지를 동반한 파밍 악성코드가 발견됐다.

파밍 악성코드는 주로 웹사이트에 접속만 해도 감염되는 '드라이브-바이 다운로드' 방식이나 불필요한 프로그램(PUP), 정상 유틸리티 프로그램의 업데이트 모듈을 악용해 유포된다.

최근 발견된 파밍 악성코드는 사용자가 알아채지 못하도록 PUP를 통해 PC에 설치, 실행된다.

일단 악성코드가 PC에 다운로드되면 윈도 운영체제(OS)의 정상파일인 'mshta.exe'를 실행해 메모리 영역에 악성코드를 삽입한 뒤 악의적인 행위를 수행하게 된다.

인터넷 익스플로러의 시작 페이지를 유명 포털 사이트로 강제로 변경하고 '인터넷 옵션-연결-자동 구성 스크립트' 항목을 수정하며, 이후 사용자가 익스플로러를 실행하면 금융감독원을 사칭한 피싱 페이지로 유도하는 메시지 창이 나타난다.

특히 이번 팝업 메시지는 이전과 달리 은행 사이트 외 카드사 사이트가 추가돼 있다는 점이 눈에 띈다. 사용자가 팝업창에서 카드사를 클릭하면 카드사 사이트로 위장한 피싱 페이지로 연결된다.

유명 카드사의 사이트를 정교하게 모방했을 뿐 아니라 '개인정보 유출'이라는 사용자 입장에서 민감한 내용으로 신용카드 정보·개인정보를 입력하도록 하고 있다. 만약 사용자가 속아서 정보를 입력하면 해당 정보는 공격자(C&C 서버)에게 전송된다.

이 파밍 악성코드는 C&C 서버 통신 외에도 PC 시작 프로그램과 윈도 방화벽 예외 정책을 수정하기까지 한다.

안랩 측은 "파밍 공격은 지속적으로 발생하고 있으며 나날이 교묘히 진화하고 있다"며 "피해를 예방하기 위해서는 사용 중인 OS와 주요 프로그램의 최신 보안 업데이트를 적용하고, 백신 제품을 항상 최신으로 유지해야 한다"고 전했다.

김국배기자 vermeer@inews24.com







포토뉴스