기존 피싱이 이메일을 보내 가짜 웹사이트에 접속하게 한 것과 달리 이번에 발견된 피싱은 트로이목마와 결합된 첫 사례라는 점에서 주목할 만하다. 뱅키.101376(Banki.101376)라는 트로이목마가 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열린다. 여기에 주민등록번호, 이름, 통장비밀번호, 인증서비밀번호, 보안카드비밀번호 등 금융 거래를 위한 여러 가지 개인 정보를 입력하도록 유도한다. 정상적인 인터넷 뱅킹 거래는 개인 정보 입력을 단계를 거쳐 입력하게 되어 있는 데 반해 이번에 발견된 피싱 사이트에서는 모든 정보를 한 화면에서 입력하도록 요구한다.
뱅키.101376 트로이목마는 뱅키.61440 트로이목마에 의해 설치된다. 인터넷 주소를 저장하는 파일인 호스트 파일의 기존 정보를 삭제한 후, 다른 정보를 저장함으로써 가짜 웹사이트에 접속하게 한다. 이 외에도 특정 온라인 게임 로그인 계정(ID, 비밀번호)이나 인터넷 뱅킹용 인증서 관련 파일을 가로채 특정 인터넷 주소로 빼내는 기능을 갖고 있다. 현재 이 인터넷 주소는 접속이 차단된 상태이다.
안철수연구소는 19일부터 V3 제품군에 뱅키.101376 트로이목마 진단/삭제 기능을 제공하고 있다. 또한 이미 호스트 파일이 변경된 경우 악의적 정보를 삭제해 가짜 사이트로 접속하지 않도록 해주는 전용 백신(http://info.ahnlab.com/download/vaccine_view.jsp?num=60&pagecnt=1)도 제공하고 있다.
앞으로 이와 유사한 트로이목마가 등장할 경우 피해를 당하지 않도록 사용자는 여러 가지 정보를 한꺼번에 입력하게 만들어진 웹페이지에는 개인 정보를 입력하지 말고 발견 즉시 해당 금융사 또는 안철수연구소를 비롯한 보안 업체, 피싱 신고 접수 사이트(www.krcert.or.kr)에 신고하는 것이 좋다.
안철수연구소 강은성 상무는 “요즘의 악성코드는 대부분 금전적 이익을 취하기 위해 특정 사용자를 겨냥해 개인 정보를 가로채는 수법을 많이 쓰는데 피싱도 그 중 하나다. 악성코드와 피싱이 결합된 첫 사례가 등장한 만큼 앞으로 더 지능적인 수법이 나올 것으로 보인다.”며 “믿을 수 있는 보안 제품을 설치해 항상 최신 버전을 유지하는 것이 안전하다”라고 당부했다.
안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.
웹사이트: http://www.ahnlab.com
연락처
안철수연구소 커뮤니케이션팀 황미경 과장 02-2186-6033
