가면 쓴 '인터넷뱅킹 악성코드'

광고로 위장하거나 신뢰할 수 있는 기관 사칭…정상 파일로 꾸며 피해 발생할 때까지 몰라

[아시아경제 김철현 기자] 인터넷뱅킹을 노리는 악성코드가 꾸준히 발견되고 있다. 이 같은 악성코드에 감염되면 금융정보가 빠져나가는 것은 물론 공인인증서까지 복제돼 피해가 커질 수 있다. 게다가 최근에는 인터넷뱅킹 과정에서 사용자가 입력한 정보와 이체 금액을 무단으로 변경해 해커의 계좌로 돈을 보내는 신종 메모리 해킹용 악성코드가 발견되기도 했다. 하지만 악성코드는 민낯을 드러내지 않고 갖가지 가면을 쓰고 있기 때문에 감연 전에 그 실체를 파악하기는 쉽지 않다. 대부분 정상으로 보이는 프로그램으로 위장하고 있는 것이다. 그렇다면 인터넷뱅킹 악성코드가 주로 쓰는 가면은 무엇일까.

금융 보안 전문가들이 지속적으로 발견하고 있는 것은 광고프로그램(애드웨어)으로 위장한 인터넷뱅킹 악성코드다. 여러 인터넷 사이트에서 애드웨어를 쉽게 접할 수 있기 때문에 무심코 지나칠 수 있다는 점을 노린 것이다. 예를 들어 개인 블로그나 인터넷 카페 등에 특정 프로그램을 올려놓고 사용자들이 이를 다운로드 받을 때 제휴 프로그램이라는 명목으로 애드웨어 설치를 유도하면서 몰래 악성코드를 설치한다. 이 경우 사용자들은 다운받은 프로그램이 정상적으로 작동하기 때문에 악성코드에 감염된 사실을 알아채지 못한다.

사용자들이 신뢰할 수 있는 곳으로 위장하는 것도 대표적인 수법이다. 금융감독원, 금융결제원, 한국인터넷진흥원 등의 관련 공공기관이 주요 사칭의 대상이다. 지난해 9월 발견된 악성코드의 경우 특정 사이트들과 금융결제원이 협력해 보안 서비스를 제공하는 것으로 위장하고 있었다. 인터넷에 접속하면 팝업 형태로 메시지를 띄웠고 '확인'을 클릭하면 금융결제원 전자인증센터로 꾸민 사이트를 보여줘 보안카드 번호, 비밀번호 등을 입력하도록 했다.

안랩 등 보안업체를 사칭하는 수법도 자주 이용되고 있는데, 지난해 발견된 악성코드의 경우 안랩의 영문 이름으로 파일이 저장돼 육안으로는 정상적인 파일로 보이게 했다. 하지만 이 악성코드는 정상 인터넷 주소를 입력하더라도 피싱사이트로 접속하게 하는 호스트 변조 기능을 가지고 있었다.

이벤트도 해커들이 자주 사용하는 방법이다. 최근에는 인터넷뱅킹 사용자들이 일회용 비밀번호 생성기(OTP)에 관심이 많다는 점을 이용해 OTP와 전자금융사기 예방 관련 이벤트로 위장한 악성코드 배포 시도가 있었다.

보안 관련 인증절차와 금융보안 프로그램을 사칭한 악성코드도 지속적으로 발견되고 있다. 인기 동영상이나 호기심을 자극하는 동영상 파일로 속이는 경우도 많다. 실시간 검색어 등을 보며 사람들이 관심을 갖는 동영상 키워드를 파악한 뒤 이 동영상 파일에 악성코드를 숨겨 배포하는 것이다.

포털사이트로 위장하는 간 큰 해커도 있다. 호스트파일을 변조해 사용자들이 정상적인 포털사이트의 주소를 입력해도 피싱사이트로 연결되도록 하는 방식이다. 지난해 피해 사례의 경우 포털사이트에 접속하면 금융감독원을 사칭한 팝업창을 보여주며 의심을 피해갔다. 같은 방식을 통해 아예 은행의 홈페이지로 위장하기도 한다.

금융권 관계자는 "현재 전파 중인 악성코드 중에 인터넷뱅킹을 노린 형태가 수시로 발견되고 있지만 수법은 그때그때 다르다"며 "이 악성코드들은 예금자의 중요 금융정보를 훔쳐내는 것은 물론 예금인출 범행 시도로도 이어질 수 있으므로 각별한 주의가 필요하다"고 말했다.