7000명 이상의 금융정보 탈취 피해를 일으킨 파밍 공격이 발견됐다.
빛스캔은 3일 발표한 보고서를 통해 “단일 규모 사상 최대 파밍 피해자 정보를 확인했다”며 “향후 인터넷 금융을 직접 위협할 수 있는 공격으로 추정된다”고 밝혔다.
보고서에 따르면 이 공격은 웹 서핑만으로 감염되는 드라이브 바이 다운로드 방식을 이용했으며, 사용자 단말에 악성코드를 감염시켜 금융정보를 탈취한다. 공격자는 감염된 PC에서 공인인증서를 유출하며, 주요 은행 사이트와 포털 사이트에 방문하려 하면 공격자가 운영하는 사이트로 연결된다. 연결된 이후 정보를 입력하면 개인의 계좌에서 금액을 인출해 피해자가 된다.
공격에 이용된 웹사이트는 언론사 홈페이지와 P2P 사이트 등이며, 보안패치가 제대로 이뤄지지 않은 PC에 악성코드가 감염됐다. 감염된 PC에서 공인인증서를 탈취했으며, 사용자가 정상 은행 사이트로 접속해도 가짜 사이트로 이동하게 됐다. 은행 로그온정보, 계좌이체비밀번호, 보안카드 번호 등 다양한 정보를 입력하게 해 직접적인 금융 피해를 일으키고 있다.
이 공격은 지난해 12월 중순부터 수집이 된 것으로 확인되고 있으며, 실제로 금융정보를 입력해 정보가 유출된 피해자가 7000여명에 이르고 있어 감염된 사용자는 이보다 훨씬 더 많을 것으로 보인다.
공격자 서버에 저장된 개인 금융정보는 날짜, 이름, 주민번호, 전화번호, 은행명, 은행계좌번호, 비밀번호, 대체비밀번호, 메모, 보안수단, IP 등이었으며, 공격자가 직접 확인한 내용으로 추정되는 메모도 남겨져 있었다. 이 메모에는 계좌에 얼마가 남아있는지, 인출 내역 등을 기록했다.
또한 입력된 금융 정보를 활용하고, 사용자의 스마트폰으로 위조된 메시지를 전송하거나 팝업창을 맞춤형으로 띄워 추가 정보를 획득하는 기능도 포함돼 있었다. 또한 백신에 탐지되지 않는 악성파일과 분석을 회피하는 기술, C&C를 자유자재로 변경해 차단을 회피하는 기능이 포함돼 있었다.
빛스캔 관계자는 “핀테크 및 간편한 인증을 이용하려는 다양한 금융거래 시도가 활성화되는 시기에, 보안에 대한 고려가 없다면 문제는 계속된다. 사용자의 비정상거래를 탐지하는 FDS의 경우 일선에서 최선의 방어가 된다는 전제하에 일상적인 범주를 벗어나는 문제를 탐지하는 용도여야 한다. 그러나 이번 사례처럼 6~7000여명의 금융 정보를 확보한 상태에서 비정상거래 탐지는 쉽지 않은 문제”라고 지적했다.
