세계 1000여개 은행과 기업을 노렸던 ‘다이어’ 악성코드가 국내에 상륙했다.
안랩(대표 권치중)은 주로 해외에서 발견되던 다이어 악성코드가 국내 은행 두 곳을 공격대상에 포함시켰다며 경고를 내렸다.
다이어는 인터넷 뱅킹 정보를 탈취하는 악성코드다. 주로 이메일 첨부 파일로 유포된다. 첨부파일을 실행한 사용자를 가짜 웹페이지로 유도해 정보 유출을 시도한다. 인터넷익스플로러, 크롬, 파이어폭스 등 브라우저 종류를 가리지 않고 이용한다. 명령&제어(C&C)와 통신하며 브라우저와 인터넷 뱅킹 정보를 빼낸다. 사용자가 입력하는 키보드 값과 각종 정보를 빼돌린다. 가상머신(VM) 기반 탐지 우회를 시도하므로 탐지도 쉽지 않다.
다이어는 사용자 웹 브라우저에 다양한 형태 MITB(man-in-the-browser) 공격을 가해 로그인 정보를 탈취한다. 사전에 다이어 공격을 설정한 사이트 목록과 사용자가 방문한 모든 페이지를 대조한 뒤 일치되는 사이트가 발견되면 가짜 웹사이트로 연결해 사용자 로그인 정보를 수집하는 방식이다.
안랩은 “다이어는 2014년 말부터 해외에서 활발하게 유포되고 있다”며 “내부 코드는 크게 변화가 없지만 외형은 끊임없이 바뀌며 지속적인 피해가 우려된다”고 말했다.
피해를 막으려면 항상 운용체계(OS)와 보안 프로그램, 상용소프트웨어를 최신 상태로 유지해야 한다. 피해를 막으려면 온라인 뱅킹 이용 시 웹사이트 변조 여부와 평소와 다르게 과도한 정보를 요구하는지 꼼꼼히 살펴야 한다.
김인순기자 insoon@etnews.com