본문 바로가기

Security Indicator/Insight

분석 (5)- 사상 최대 온라인 은행강도 [피싱]

바다란입니다. 근래에 피싱 관련된 이슈들이 국내외를 막론하고 발생이 되었습니다.

 

해당 유형에 대한 기사중 국내에서 발생된 기사의 경우 제가 특별히 언급을 할만한 내용은 없어 보이고 [ 이미 많은 설명이 되었기 때문 ] 해외 기사중 스웨덴에서 발생된 대규모 예금 인출 사건등과 묶어서 설명하는 것이 좋을 듯 싶습니다.

 

http://www.zdnet.co.kr/news/internet/hack/0,39031287,39154804,00.htm

 

국내의 특정 사이트로 가도록 유도한 이슈와 스웨덴에서 발생한 두 가지 케이스 모두 악성코드 기능을 이용하여 전문적인 정보를 빼내도록 했다는 것입니다.

 

연관 관계 및 진행 및 발전 상황을 기술적으로 설명을 하는 방향으로 간략히 기술해 보겠습니다.

국내에서 발생된 이슈 및 해외 발생 이슈의 공통점인 악성코드 설치 유형은 약간의 차이가 있습니다. 국내 발생된 이슈의 경우 시스템의 취약성을 이용하여 [MS 06-014 취약성] 악성코드를 설치하고 사용자 시스템의 Host 파일 설정을 변경 하여 특정 URL 입력시 특정 IP로만 전달 되도록 한 내용이며 스웨덴의 경우는 기사상으로만 본다면 약간의 사회공학적인 해킹 [ 사람을 속이는 기술]을 이용하여 악성코드들을 제거해 준다는 Utility 형태로 사용자에게 정상 설치토록 진행 한 것으로 보입니다. 또한 악성코드 자체는 일반적인 키로깅 기능을 사용하도록 되어 있습니다.

 

형태와 난이도로만 본다면 국내에서 발생된 피싱 사건이 조금 발전적인 형태이며 스웨덴의 경우는 난이도가 높지 않은 경우입니다만 실제 피해 사례가 대규모로 발생 하였다는 점에서 큰 차이가 있습니다.

 

이 부분에 대한 관점은 다를 수 있으나 국내 은행들이 그동안 해외에 무수하게 난무하던 피싱 관련 피해 및 직접적인 개인정보를 이용한 예금 인출등의 피해가 매우 적었던 것은 공인인증서의 사용이 가장 큰 영향이라고 개인적으로 보고 있습니다.

 

해외 은행의 경우 ActiveX의 사용을 피하고 사용자의 입력에 의한 단순 인터넷 뱅킹들을 다수 사용하고 있어서 2000년대 이후 지속적인 공격 대상이 되었습니다. 금전과 연계된 증권 관련 회사들도 마찬가지 입니다. 관련 부분은 본 블로그의 분석 제목에 연계된 글이 있으므로 해당 글을 참조 하시면 됩니다.  키로깅 기능에 따른 사용자 정보 노출 피해가 발생하자 화면상에 가상 키보드를 올려두고 마우스로 클릭하는 형태로 일부 해외 금융권이 보안을 강화 하였으나 이 부분도 마우스의 클릭 좌표 및 이벤트를 로깅 하는 형태로 발전된 피싱이 이미 일반화 된 상태입니다.

 

해외 은행들의 경우 피싱으로 인한 피해가 적은 수준은 아니며 해외 관련 피싱 메일 및 피싱 사이트 탐지 현황에서도 손쉽게 확인이 가능합니다. 실제 브랜드 이미지 뿐 아니라 금전적인 피해사례도 직접 발생하고 있는 상황이죠.

 

그 동안 국내 은행에서도 유사 피해 사례가 없었던 것은 아니나 유형은 차이가 있으며 피해 규모도 오프라인과 연계된 제한적인 피해들이 발생 하여..해외의 경우와는 많은 차이를 보이고 있습니다.

 

그렇다면 국내의 은행들을 대상으로한 이번 해킹의 중요성은 무엇일까요?

 

이번에는 공인인증서 자체의 습득도 목표로 한 것을 확인 할 수 있습니다.

악성코드의 유포부분은 지난해 까지 일반적으로 게임의 계정등을 획득하기 위해 특정 유명 사이트를 해킹한 이후 해킹한 사이트에 악성코드 설치 모듈을 숨겨 두는 유형으로 진행을 하고  해당 사이트 방문자는 방문 하는 순간 취약성을 이용한 악성코드가 방문자의 시스템에 설치가 됩니다.  알려진 취약성을 이용할 경우 보안패치가 된 사용자는 피해가 없으나 그렇지 않은 사용자에게는 피해가 있습니다. 또한 Zeroday 취약성 [ 공개되지 않은 취약성]을 이용할 경우에는 거의 방문자 모두에게 피해를 입히게 됩니다.

 

악성코드를 설치 [ MS 06-014 취약성 이용] -> 사용자 PC의 공인인증서 가져감 -> 사용자 PC의 Host 파일 변조 -> 사용자의 개인정보를 빼내가기 위해 변조된 Host 정보를 통해 특정은행과 공격자가 변조한 사이트 IP 주소를 등록하고 사용자가 해당 은행 이나 금융기관 접근시 -> 개인 신상정보 및 공인인증서 비번 ,보안카드 등을 입력하도록 유도

 

위와 같은 과정으로 국내 은행의 피싱이 이루어 졌습니다. 실제로 외국의 은행에 비해 어려운 점이 공인인증서 및 보안카드의 결합 사용으로 인하여 몇 단계가 더 추가가 되었고 사용자에게 기본 금융권 사이트와 다른 입력 정보를 입력하도록 유도함에 따라 쉽게 발각이 되었다고 할 수 있습니다.

 

그렇다면 외국의 은행은 어떨까요? 공인인증서 사용 없으며 보안카드도 일반적이지는 않습니다. 따라서 일반적인 개인정보 입력을 통해서만 거래가 가능하므로 피싱에 매우 큰 영향을 받을 수 있습니다. 보안 기술은 항상 공격 기술의 뒤에 따라 갈 수 밖에 없으므로 피해가 발생한 이후에야 보완이 가능하며 발전이 됩니다.

 

이번 스웨덴에서 발생된 실제 예금 인출 사태는 온라인 무장강도라고 해도 됩니다. 예전처럼 총을 들고 터는 것이 아닌 사용자 PC를 조정 할 수 있는 악성코드를 이용한 온라인 무장강도이죠.

 

기사에 언급된 내용을 바탕으로 추려보면 다음과 같이 간단한 순으로 처리가 됩니다. 물론 알려지지 않은 내용은 더욱 많을 것이며 스웨덴 은행의 경우 가장 기초적인 내용에 당한 것이라고도 볼 수 있습니다.

사용자에게 악성코드 제거용 프로그램이라고 속이고 다운로드 받도록 유도 -> 사용자 PC에 해당 프로그램의 설치 -> 사용자가 입력하는 키보드 정보를 기록 -> 특정 위치로 전송 [ 기사대로라면 미국으로 전송 그 이후 러시아쪽으로 전달 ] -> 노출된 정보를 이용하여  온라인 뱅킹을 통한 계좌 이체 시도 -> 계좌의 금액을 반복적으로 옮겨..추적을 어렵게 한다음 인출

 

이렇게 해서 발생된 피해가 확인이 된 부분만 10억 이상이라고 합니다. ^^;

 

그 동안의 피싱의 발전을 보면 국내에서는 관련된 공격이 이미 2~3년전 부터 있었으며 악성코드와의 결합 가능성도 매우 높은 상태 였습니다. 그러나 해외는 이제 시작입니다.

 

피싱의 발전

 

단순 이메일 링크 클릭을 통한 피싱 사이트 접속 -> 혼동하기 쉬운 사이트의 개설을 통한 사용자 혼동유도 -> XSS 취약성등을 이용하여 Popup 창 생성 이후 정보 유출 -> 이번에 나온 직접 PC에 설치된 악성코드 [저레벨]를 통한 사용자 정보 도용 [키로깅 이용] -> (?) 앞으로의 발전은 국내에 나온 유형이 발전적으로 적용 될 것입니다. 신규 악성코드 나 신규 취약성을 통해 사용자 PC의 원격제어 및 키로깅 또는 마우스 이벤트 훅킹등을 통해 정보 유출 시도가 증가하고 실제 피해를 입힐 것입니다.

 

국내에는 조금 다른 이야기가 되겠죠. 실제 예금인출까지 가는 온라인 무장강도는 가능성이 낮습니다. 그러나 기본적인 ActiveX 실행구조가 변경이 되는 Vista 상에서는 문제가 있을 것 같습니다.

 

사실 ActiveX의 전면적인 시스템 권한 비허용 부분에 대해서는 큰 방향에서는 바람직하나 국내의 사안으로 보면 좀 더 다른 위험에 노출 시킬 수 있다는 부분에서 우려를 하고 있습니다. 이 부분에 대해서는 적절한 시점에 별도의 칼럼으로 만들어 보도록 하겠습니다.

 

좋은 하루 되세요.

 

 -
p4ssion