금융기관 겨냥한 트로이목마 '다이어' 확산

전세계 1000개 은행 및 기업 공격… 한국에서도 발견
가짜 웹사이트로 연결해 개인 정보 수집

[아시아경제 한진주 기자] 금융기관을 공격해 고객 정보를 빼내는 트로이목마 '다이어'(Infostealer.Dyre)가 퍼지고 있어 각별한 주의가 요구된다.

24일 보안업체 시만텍에 따르면 지난해 등장한 다이어 트로이목마가 미국, 영국 등을 중심으로 전 세계 1000개가 넘는 은행과 기업을 위협하고 있다. 최근 한국에서도 공격 사례가 탐지됐다.

이 악성코드는 윈도우 컴퓨터를 표적으로 놓고 3대 웹 브라우저인 인터넷 익스플로러(IE), 크롬, 파이어폭스를 공격해 금융정보 등을 빼낸다.

사용자가 방문한 페이지를 분석해 진짜 웹사이트와 유사한 가짜 웹사이트로 연결하거나, 악성코드를 추가한 브라우저 창을 합법적인 웹사이트로 위장하는 수법으로 사용자의 로그인 정보를 수집한다.

예를 들면, 이용자에게 생년월일, PIN 코드, 신용카드 세부정보 등 추가 로그인 정보를 제공해야 계정을 확인할 수 있다는 내용의 가짜 웹페이지를 표시하기도 한다.

'다이어'는 사업 문서, 음성 메일, 팩스 메시지 등으로 위장한 스팸 메일을 통해 퍼지고 있다. 사용자가 이메일의 첨부파일을 클릭하면 악성 웹사이트로 연결돼 '어파트레 다운로더'(Downloader.Upatre)가 설치된다.

어파트레는 금융사기 조직이 가장 많이 사용하는 정찰 툴로, 사용자의 컴퓨터에서 정보를 수집하고 보안 소프트웨어를 무력화해 다이어 트로이목마를 설치하는 교두보 역할을 한다.

또한 다이어는 악성코드로 피해자 컴퓨터를 감염시키고, 컴퓨터로 또 다른 스팸 캠페인을 실행해 피해를 더욱 확산시키는 것으로 알려졌다.

윤광택 시만텍코리아 제품기술본부 이사는 "게임오버 제우스(Gameover Zeus), 샤이록(Shylock), 램니트(Ramnit) 등의 사이버 범죄 조직이 검거된 후 다이어가 새로운 보안 위협으로 빠르게 확산되고 있다"며 "운영체제 및 보안 소프트웨어를 최신 상태로 유지하고, 온라인 뱅킹 이용 시 웹사이트의 외관이나 활동에 수상한 점은 없는지 각별한 주의를 기울여야 한다"고 말했다.