일회용비밀번호(OTP)까지 털어가는 신종 금융사기 사이트가 발견돼 주의가 요구된다. 보안카드보다 안전성이 높은 것으로 알려진 OTP도 더이상 안전지대가 아니다. 공격자가 매우 정교하게 가짜 사이트를 만든 데다 도메인이나 IP 차단에 신속히 대처하고 있어 금융피해 발생이 우려된다.
22일 보안 업계에 따르면 국내에 대규모로 유포 중인 인터넷뱅킹용 악성파일에 감염되면 일반 포털사이트에 접속만 해도 금융감독원을 사칭한 팝업이 뜬다. ‘대국민 정보유출 2차 피해 예방 보안등록 안내’ 문구가 나타나며 인터넷뱅킹 이용고객은 반드시 보안등록을 진행하라고 유혹한다.
심지어 미등록 사용자는 인터넷뱅킹 사용이 제한될 수 있다고 경고하며 가짜 ‘e금융보안센터’로 접속을 유도한다. 과거 공격자는 가짜 사이트에 주로 보안카드번호 입력을 유도했는데 이번엔 OTP 일련번호와 생성번호까지 요구한다. 보안카드 유출수법이 알려지면서 OTP 이용자가 늘어나자 재빨리 방법을 바꿨다.
특히 이번에 나타난 공격은 트위터 계정을 이용해 악성코드에 명령을 내린다. 국내 관계기관에서 차단이 어려운 해외 소셜네트워크에 계정을 만들어 파밍에 사용되는 IP주소를 계속 변경한다. 파밍 사이트 한 곳이 차단되면 바로 다른 IP로 접속되게 해둔 조치다. 공격자는 egumyung.com, ekumyong.com, e-kmyung.com 등 도메인을 계속 바꾸며 국내 전자금융 정보를 빼돌린다.
공격자는 온라인뱅킹 정보를 모두 빼낸 것도 모자라 스마트폰까지 악성코드를 감염시키려 시도한다. 가짜 e전자금융보안사이트에 ‘스마트폰에 금감원에서 지정한 보안프로그램을 반드시 설치하라’는 문구를 올리고 QR코드나 URL 직접 접속을 유도해 악성코드를 감염시킨다.
문종현 잉카인터넷 부장은 “공격자는 트위터에 ‘김덕수이름’이라는 계정을 만든 후 파밍용 IP주소를 계속 바꾸며 국내 금융정보를 빼돌리고 있다”며 “한국 관계기관이 해외 기업에 연락해 바로 차단 요청이 어려운 점을 이용해 악성코드 생존기간을 높였다”고 설명했다. 문 부장은 “관련 악성코드에 감염되지 않으려면 백신은 물론이고 마이크로소프트 윈도와 어도비 플래시플레이어, PDF, 오라클 자바 등을 최신으로 업데이트해야 한다”며 “포털사이트 접속 시 금융 관련 팝업이 나타나면 100% 피싱이니 절대 정보를 입력하면 안 된다”고 덧붙였다.
김인순기자 insoon@etnews.com