개인정보를 노리는 "시노월 트로이목마"가 기승을 부리고 있는 것으로 조사됐다.
EMC의 정보보안사업부 RSA의 연구소 RSA 프로드액션 리서치랩(RSA FraudAction Research Lab)에 따르면 인터넷 상의 개인 정보 및 금융 정보를 빼가는 ‘시노월 트로이목마(Sinowal Trojan)’의 피해가 최근들어 지속적으로 증가하고 있는 것으로 나타났다.
지난 3년간의 조사결과에 따르면, 2006년 2월 첫 출현한 시노월 트로이목마를 통해 지난 3년간 약 30만개의 온라인 은행계좌와 그에 버금가는 숫자의 신용카드 및 직불카드 정보가 유출되었으며, 이메일이나 웹사이트 FTP 계정과 같은 개인 정보가 유출, 해킹된 것으로 파악됐다.
일명 ‘멥루트(Mebroot)’ 또는 ‘토피그(Torpig)’로도 알려진 시노월 트로이목마는 흔적을 남기지 않고 타깃 컴퓨터를 감염시킨다. 시노월 트로이목마를 퍼뜨리고 있는 범죄자들은 고도로 정교한 악성 크라임웨어를 만들어냈을 뿐만 아니라, 안정적인 잠복형 커뮤니케이션 인프라를 운영하고 있다. 이 인프라는 무려 3년간 시노월 트로이목마를 통해 주기적으로 개인 정보를 수집, 발송하고, 이렇게 탈취된 개인정보를 특정 저장소에 체계적으로 저장해오고 있는 것으로 밝혀졌다.
시노월 트로이목마는 이처럼 오랜 기간 생명력을 유지하며 활동하고 있는 것 외에도 무수한 변종을 낳으며 놀랄만한 속도로 진화하고 있으며, 올해 3월부터 9월까지 시노월 트로이목마의 공격 사례가 급격히 증가하고 있다.
시노월 트로이목마는 일단 컴퓨터로 다운로드되면 HTML 인젝션(injection) 기능을 통해 새 웹 페이지나 정보 필드를 감염된 컴퓨터의 인터넷 브라우저에 띄우는데, 외관상 매우 정교하게 합법적인 웹 페이지와 유사해 사용자가 로그인 정보, 금융 정보 및 개인 정보를 입력하도록 유도한다.
놀라운 것은 시노월 트로이목마를 감염시키는 특정 URL이 무려 2천7백 개가 넘는 것으로 조사돼 컴퓨터 사용자가 전세계 수백개의 금융기관의 웹사이트에 액세스할 때 위험에 노출되는 것을 의미해 심각성을 더하고 있다. 시노월 트로이목마와 관련해 전세계적으로 27개국에서 피해 사실이 보고되었으며, 최근 6개월 동안 무려 10만여 건의 로그인 정보 및 온라인 계정(online account) 정보를 해킹한 것으로 조사됐다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr