[취재파일] 당신의 금융정보를 노리는 악성코드 해킹의 진화

[출처:SBS뉴스]
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001406507

 

이번에는 카드 고객을 노렸습니다. 지난 7월 'SBS 8 뉴스'와 '취재파일'을 통해 자세히 알려드렸던 금융정보를 빼내가는 악성코드 해킹 조직 이야기입니다. 당시에는 은행 인터넷 뱅킹 이용 고객을 노리고 악성코드를 컴퓨터에 심어놓은 뒤 진짜 은행 사이트를 입력하면 자신들이 만들어 놓은 유사 은행사이트로 연결되게 해 금융정보를 빼내가는 해킹 방식이었습니다. 백신 사이트도 공격 대상으로 삼아서 바이러스 백신의 자동업데이트도 불가능하도록 만들었습니다. 보도 이후 금융감독원이 서둘러 대책을 내놓고 은행들도 잔뜩 신경을 써서 대비를 해서였는지 공격 대상을 카드 고객으로 바꾼 겁니다.

 

기본적인 수법은 비슷하지만, 감염 방식은 더 정교해졌습니다. 이렇게 악성코드를 심어놓고 금융정보를 빼내가는 피싱 사기를 ‘파밍(Pharming)’이라고 부르는데 인터넷에서 동영상 같은 것을 다운로드 받지 않고 인터넷 사이트에 방문만 해도 그 사람의 컴퓨터에는 자신도 모르게 악성코드가 깔립니다. 이미 주요 사이트들을 해킹해서 악성코드가 뿌려지도록 해 놓았기 때문입니다. 해킹을 당한 사이트도 증권사, 파일공유 사이트 뿐 아니라 신문사, 동창회, 대학교 사이트 등으로 갈수록 숫자가 늘고 있습니다. 단순히 악성코드를 심어놓고 문제를 일으키는 수준이 아니라 심어놓은 악성코드를 해커가 상황에 맞게 변화시킬 수 있도록 진화까지 됐습니다.

 

9월 17일 카드사에 처음으로 피해 신고가 접수된 뒤 속출하고 있는 피해 사례들은 이렇습니다. 일단 평소처럼 온라인으로 물건을 구입하고 카드 결제를 하면 기존의 결제 과정을 진행하다가 그 동안 못 본 인증 창이 하나 더 나타납니다. 여기서 카드번호와 유효기간을 요구하는데 워낙 똑같이 생겨서 아무런 의심 없이 다들 입력을 합니다. 공인인증서를 이용해서 결제를 했든지 아니면 30만 원 이하 결제에 주로 사용하는 안심클릭을 사용했든지 가짜 인증 창으로 정보를 빼가는 방식은 같습니다. 진화하는 악성코드 해킹이 무서운 것은 이용자 모르게 이렇게 공격 대상 컴퓨터에서 야금야금 금융정보를 수집하다가 공인인증서 암호, 비밀번호, 카드번호, CVC(카드 뒷면 3자리 숫자) 등 카드 결제에 필요한 정보가 모두 확보되면 스스로 악성코드가 컴퓨터에서 사라지기까지 한다는 점입니다. 피해자는 컴퓨터 이용에 아무런 불편을 못 느끼기 때문에 나중에 가서야 자신의 금융정보를 빼앗겼다는 것을 알게 되는 겁니다.

 

첫 신고 이후 불과 2주만에 100여 명의 피해자들이 신고를 했는데 모두 뒤늦게 피해사실을 알게 된 고객들입니다. 시간이 갈수록 피해자들은 더 늘어날 수 있습니다. 그런데 이렇게 수집한 금융정보를 이용해 해킹 조직이 카드 결제를 몰래 했던 수법에는 공통점이 있었습니다. 주로 게임사이트에서 카드결제로 사이버 머니를 구입했다는 점입니다. 카드번호, 공인인증서 복사(공인인증서도 폴더 전체를 복사해 옮기면 가능), 비밀번호, CVC 번호를 알면 카드 결제가 가능하기 때문입니다. 게임사이트의 사이버 머니를 구입한 이유는 사이버 머니를 사서 다른 계좌로 옮겨놓으면 피해자가 뒤늦게 카드 결제를 시도해도 사이버 머니 구입이 취소되지 않기 때문입니다.

 

피해 신고가 잇따르자 카드사들은 게임사이트 결제 한도를 제한하고 온라인 쇼핑몰을 최근 6개월 동안 이용한 적이 있는 고객들에게 주의문을 보냈습니다. 뒤늦게 전체 고객을 대상으로 경고문을 홈페이지에 올리기도 했습니다. 하지만 이런 불특정 다수를 노린 공격은 게임사이트 이용이나 결제를 막는다고 피해를 줄이기는 어렵습니다. 이미 은행을 가짜 피싱 사이트와 악성코드로 공격하면서 여러 방식으로 수법을 바꿨던 적이 있는 조직이라 얼마든지 대상을 전환할 수 있기 때문입니다. 정보보안전문가들도 계속 비슷한 사기 조직이 수법과 대상을 바꾸면서 공격하고 있다고 보고 있는 중입니다.

 

그렇다면 어떻게 해야 피해를 줄일 수 있을까요? 현재로서는 워낙 악성코드를 심어놓은 사이트들이 우후죽순처럼 늘고 있어서 감염을 막을 수 있는 방법이 있다고 쉽게 말할 순 없습니다. 백신 업데이트나 보안패치를 통해 취약점을 보완할 수는 있지만, 전문적인 방법이고 뒤따라가는 방식의 대응이라 한계가 있습니다. 가장 좋은 것은 어떻게든 감염을 막는 방법이겠지만 그게 안 된다면 감염이 됐더라도 결정적인 금융정보가 새나가지 않도록 피싱 사기를 구별하는 방법을 알아두는 것이 좋습니다.

 

우선 은행사이트의 경우 현재까지는 사기단이 보안카드 번호 전체를 요구하는 방식을 유지하고 있습니다. 은행에서는 결코 보안카드 번호 전체를 요구하지 않고 3~4자리 숫자만 입력하도록 하기 때문에 보안카드 번호 전체를 요구하면 무조건 진행 과정을 중단하고 컴퓨터를 검사해야 합니다. 공인인증서도 다시 발급받는 것이 좋습니다.

 

카드 고객의 경우 평소 결제했던 과정과 다른 인증 창이 나타난다면 즉시 결제를 중단하고 같은 방식으로 컴퓨터 검사를 합니다. 신용카드도 재발급 받는 것이 낫습니다. 또 카드 결제를 할 때마다 문자메시지가 휴대전화로 오도록 하고, 혹시 판단하기 어렵다면 일부러 틀린 카드 비밀번호를 넣어보고 그래도 정상적으로 결제가 진행된다면 이미 악성코드에 감염돼 금융정보가 새나가고 있다고 보면 됩니다. 번거롭다고 생각할 수 있지만 아차하는 순간에 당신의 금융정보는 빠져나갈 수 있고 그로 인해 볼 피해를 생각하면 충분히 감당할만한 수고라고 생각됩니다.