애드웨어, '보는 순간 메모리해킹에 감염?'

아주경제 장윤정 기자 = 국산 애드웨어(adware) 서버나 프로그램 모듈을 은밀히 위ㆍ변조해 메모리 해킹 등 전자금융사기용 악성파일을 유포하는 사례가 최근 급격히 늘어나고 있다.

애드웨어에 끼워넣기 식으로 유포하는 기법은 기존 웹 보안관제만으로는 탐지가 매우 어렵고 이용자들 PC에 취약성이 없어도 악성파일에 감염될 우려가 있어 더욱 위험하다.

잉카인터넷 대응팀은 국산 애드웨어 서버나 프로그램 모듈을 위ㆍ변조해 온라인 게임계정 탈취와 메모리 해킹 등의 전자금융사기용 악성파일이 배포되고 있다고 7일 밝혔다. 

이렇게 애드웨어에 끼워팔기식으로 유포하는 기법은 기존 '드라이드 바이 다운로드(Drive By Download)' 나 워터링 홀(Watering Hole) 방식을 이용한 웹 보안 관제만으로는 탐지하기가 매우 어렵고, 이용자들의 환경에 보안 취약점이 존재하지 않아도 부지불식간에 악성파일에 감염될 수 있어 더 위험하다는 설명이다. 

실제 애드웨어 자체는 좀 귀찮지만 위험하지는 않다. 애드웨어에는 사용자 정보를 탈취하는 기능이 없고 무료로 프로그램을 사용하는 대신 광고를 줄기차게 보여주기 때문이다. 하지만 애드웨어에 악성코드가 결합되면 설명이 달라진다.  
 

실제 국내 인터넷 뱅킹 이용자와 온라인 게임 이용자의 계정정보 등을 노린 악성파일을 이용자 몰래 함께 배포한 이력을 가진 대표적인 애드웨어들

잉카인터넷 관계자는 "​보통 웹 사이트를 통한 악성파일 전파방식은 이용자 컴퓨터가 최신 보안 백신 및 MS패치 업데이트를 하지 않았거나 자바 취약점 등 취약성이 있다면 아무리 많은 웹 사이트에서 악성파일을 동시다발적으로 배포하더라도 악성파일에 감염되기 어렵다"며 "그러나 애드웨어의 기존 유통 경로를 악용한 전파방식은 프로그램의 보안 취약점을 이용한 방식이 아니기 때문에 기존 감염되어 있는 이용자들에게 업데이트 기능을 통해서 몰래 유입시키거나 애드웨어 유통 비율과 동일하게 악성파일을 배포할 수 있는 것이 장점"이라고 말했다.

이때문에 불상의 공격자들은 상대적으로 보안이 허술한 국내 애드웨어 업체의 서버를 해킹하거나 파일을 변조해 악성파일 유포에 남용하고 있다.
 

애드웨어와 결합된 악성코드에 감염되면 이같은 금융정보탈취형 악성코드에 감염될수있다 . 이와같은 이미지와 유사한 화면을 목격하게 될 경우 악성파일에 감염된 상태이므로, 절대 보안카드 번호를 입력하지 말아야 한다

이 회사의 설명에 따르면 국내 애드웨어 모듈을 바꿔치기한 악성파일류는 지난 2013년 초순 인터넷 상품권, 사행성 게임, 온라인 게임 계정이나 아이템 등을 노린 악성파일로 'kakubi.dll'이라는 이름의 파일명을 사용했다. 
가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭, 이용자의 금융정보 탈취를 시도하고 있어 각별한 주의가 요망된다.

잉카인터넷측은 "내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세"라며 "따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것"이라고당부했다.
 
또한 "2014년은 전자금융사기용 악성파일(KRBanker) 변종이 더욱 더 기승을 부릴 전망이다. 기술적으로도 진화를 거듭할 것으로 예상되는 만큼, 인터넷 뱅킹 이용자들은 보안카드의 번호를 직접 입력하거나 외부에 노출되지 않도록 각별한 주의를 기울여야 할 것"이라고 덧붙였다. 
 

위변조된 애드웨어 서버 등을 통해 메모리해킹 등을 유발하는 악성코드에 감염된 사용자 PC 화면