'파밍캅’ 탐지 우회 악성코드 등장…금융정보 탈취 급증

빛스캔 '6월 월간인터넷보안동향보고서'에 따르면 6월에는 악성코드 은닉 사이트가 1만7950건 탐지돼 전월 8358건에 비해 215% 급증한 것으로 나타났다

아주경제 장윤정 기자= 최근 국내에 유포되고 있는 악성코드의 80%가 파밍(Pharming)형 악성코드로 드러난 가운데 ‘파밍캅’을 우회하는 악성코드까지 등장해 금융소비자들을 위협하고 있다.

파밍캅은 경찰에서 배포한 파밍 예방 프로그램이다.

빛스캔은 25일 ‘6월 월간인터넷동향보고서’를 통해 파밍캅을 피해가는 악성코드가 등장했다고 경고했다.

이번 보고서에 따르면 6월 초 검색포털사이트 네이버(NAVER) 사이트 이용 시 금감원을 사칭해 보안등급을 강화하라는 파밍 공격이 나타난 후 파밍에 대한 호스트(host) 탐지가 늘어나자 탐지를 우회하기 위해 추가 바이너리를 내려받은 후 실행해 지속적으로 호스트를 생성, 백신, 파밍캅 탐지를 우회하는 공격이 증가한 것으로 드러났다.

즉 파밍캅을 우회하는 악성코드에 감염될 경우 한번 파밍캅을 이용해 파밍 공격을 찾아내고 이를 복구해놓아도 복구한 호스트를 기억해 다시 파밍 사이트로 유도하는 공격이다. 보통 인터넷 사용자들이 인터넷을 시작하기 전 파밍프로그램을 매번 돌리는 것이 아니라 한번 파밍캅을 이용하면 다음번에는 안전하다고 생각하는 허점을 찌른 공격인 셈이다.

전상훈 빛스캔 이사는 “최근 조사, 통계를 내 본 결과 국내 유포되고 있는 악성코드의 80% 이상이 파밍형 공격으로 드러나 금융소비자의 자산을 노리는 금전탈취형 공격이 악성코드 유포의 목적임을 확인할 수 있었다”며 “금융정보 탈취를 위한 공격은 지능화하고 있기 때문에 하반기에도 금융 관련 피해를 급증할 것”이라고 전망했다.

또한 이번 보고서에 의하면 6월에는 악성코드 은닉 사이트가 1만7950건 탐지돼 전월 8358건에 비해 215% 급증했다. 이에 대해 빛스캔은 6월 25일 사이버테러가 발생한 것과 무관하지 않다면 대규모 공격이 발생하기 전에는 반드시 관련 징후가 나타난다고 분석했다. 악성코드 은닉사이트란 이용자 PC를 악성코드에 감염시킬 수 있는 홈페이지다. 일반적으로 해킹을 당한 후 악성코드 자체를 유포하거나 다른 사이트로 유도해 악성코드에 감염될 수 있는 URL을 포함한 웹사이트를 지칭한다.

6월 신규 악성링크는 1620건이었으며 이중 대한민국에 직접적인 영향을 미친 신규 악성링크는 707건으로 전월 289건에 비해 245% 증가했다.

전상훈 이사는 “6월을 정점으로 7월 들어 악성코드 유포가 다소 소강상태에 접어들었지만 안심할 수는 없다”며 “정부 차원에서 악성코드 확산을 조기 탐지해 방어하는 시스템을 구축하는 등 금융 당국의 철저한 대비가 필요하다”고 강조했다.

<용어설명>
파밍이란, 이용자 PC를 악성코드에 감염시켜 이용자가 인터넷 ‘즐겨찾기’ 또는 포털사이트 검색을 통하여 금융회사 등의 정상적인 홈페이지 주소로 접속하여도 피싱사이트로 유도되어 범죄 관련자가 금융거래정보 등을 몰래 빼가는 수법