해외 핀테크 서비스를 겨냥해 제작된 악성코드가 국내 유포돼 사용자 주의가 요구된다.
하우리(대표 김희천)는 최근 캐나다 금융기관 이메일 송금 서비스를 노린 악성코드가 국내 유입됐다고 27일 밝혔다.
해당 서비스는 이메일로 수신인에게 돈을 전달한다. 메일을 수신한 사용자는 본인 계좌를 선택해 송신인이 보낸 돈을 이체 받는다. 악성코드는 각 거래에 대해 생성되는 `결제 참조 번호`를 수집하는 목적으로 제작됐다.
PC에서 동작하지만 애플 아이폰에서 접속하는 것과 같이 위장한다. 감염된 PC 자원을 이체에 필요한 결제 참조 번호를 얻는데 활용한다. 결제 페이지에 결제 참조 번호를 무차별 대입하는 `브루트포스 공격`을 진행해 유효한 번호를 수집한다. 수집한 결제 참조 번호는 특정 웹 서버로 전송해 파일 데이터베이스에 저장한다.
악성코드는 웹 브라우저와 플러그인 취약점을 이용해 `선다운 익스플로잇킷(취약점 공격 도구)`으로 국내 유포됐다. 현재 약 4000여대 PC가 감염된 상태다. 선다운 익스플로잇킷은 신생 익스플로잇킷으로 전 세계를 대상으로 악성코드 유포에 악용된다. 국내에도 최근 유입이 늘었다.
최상명 하우리 CERT실장은 “최근 핀테크 서비스가 활성화되면서 이를 노린 악성코드가 속속 발견됐다”면서 “백신을 항상 최신으로 업데이트하고 `에이피티 쉴드`와 같은 다양한 무료 솔루션을 활용해 사이버 위협을 예방해야 한다”고 말했다.
현재 하우리 바이로봇은 해당 악성코드를 `Trojan.Win32.R.Agent`로 진단한다. 바이로봇 에이피티 쉴드로 사전 차단 가능하다.
박정은기자 jepark@etnews.com
