팔토알토네트웍스코리아(대표 최원식)는 `유닛42(Unit 42)` 조사 결과 한국 온라인 뱅킹 사용자를 노린 금융정보탈취 악성코드 `KR뱅커` 활동 급증을 경고했다.
KR뱅커는 올 초반부터 감염이 증가해 최근 6개월 간 2000여개 이상 공격 샘플과 200여개 이상 파밍(pharming) 서버 주소가 존재했다. 블랙문으로 불리는 `KR뱅커`는 파밍 기술을 사용한다. 파밍은 원조 사이트와 똑같이 위조된 웹사이트로 접속시키는 수법이다.
KR뱅커는 `KaiXin`이라고 불리는 익스플로잇 킷(EK)으로 설치된다. `NEWSPOT`이라는 악성 애드웨어로 유포된다. NEWSPOT은 온라인 쇼핑 사이트에서 매출을 올리려고 쓴 일반 애드웨어다. 지난해부터 악성코드 유포에 사용된다.
KR뱅커 파밍 공격 대상이 된 사용자가 해당 금융 기관을 방문하는 경우, 가짜 사이트로 이동시킨다. NPKI 디렉터리 인증서를 탈취하고 안랩 V3 보안 소프트웨어를 종료시킨다.
김인순 보안 전문기자 insoon@etnews.com