금융기관을 공격하는 트로이목마 ‘다이어(Infostealer.Dyre)’ 주의보가 내렸다.
시만텍코리아(대표 박희범)는 다이어가 1000개가 넘는 은행과 기업 고객을 위협하며 현재 가장 강력한 금융사기 수단으로 떠올랐다고 밝혔다. 다이어는 미국, 영국 등 영어권 국가 은행을 주요 공격 대상으로 삼았는데 한국서도 발견됐다.
윈도 PC를 표적으로 3대 웹 브라우저인 인터넷 익스플로러, 크롬, 파이어폭스를 공격해 금융 및 기타 개인 정보를 탈취한다. 다이어는 주로 비즈니스 문서, 음성 메일, 팩스 메시지 등으로 위장한 스팸 메일을 통해 확산된다.
사용자가 이메일 첨부파일을 클릭하면 악성 웹사이트로 연결돼 ‘어파트레 다운로더’가 컴퓨터에 설치된다. 어파트레는 금융사기 조직이 가장 많이 사용하는 정찰 도구다. 사용자 PC에서 정보를 수집하고, 보안 소프트웨어를 무력화해 다이어를 설치하는 교두보 역할을 한다.
시만텍은 다이어 공격이 가장 활발한 시간을 기반으로 배후 조직이 동유럽이나 러시아에 소재할 것으로 예측했다. 다이어 명령&제어(C&C) 서버 인프라가 이 지역에 위치한다. 해당 지역에서 발생하는 감염 사례는 상대적으로 적다.
다이어는 사용자 웹 브라우저에 중간자공격(MITB)을 가해 로그인 정보를 탈취한다. 사전에 다이어 공격을 설정한 사이트 목록과 사용자가 방문한 모든 페이지를 대조한 뒤 일치한 사이트가 발견되면 진짜 웹사이트와 비슷한 가짜 웹사이트로 연결하는 방법을 이용해 정보를 수집한다.
윤광택 시만텍코리아 이사는 “게임오버 제우스·샤이록·램니트 등 사이버 범죄 조직이 검거된 후 다이어가 새로운 보안 위협으로 빠르게 확산되고 있다”면서 “피해를 막기 위해서는 항상 OS와 보안 소프트웨어를 최신 상태로 유지하고 온라인뱅킹 이용 시 웹사이트 외관이나 활동에 수상한 점이 있나 살펴 각별한 주의를 기울여야 한다”고 말했다.
김인순기자 insoon@etnews.com