금융 파밍 공격, 악성코드 유포지 방식 진화한다

아주경제 장윤정 기자 = 카드사 대규모 개인정보 개인정보 유출로 금융권 보안에 관심이 쏠리는 가운데 최근 국내 인터넷 뱅킹 서비스 파밍 공격의 양상이 달라지고 있다는 지적이 나왔다. 

기존에는 웹 사이트의 도메인 주소 유포방식으로 파밍 공격을 감행했는데 최근 도메인 주소 탐지가 늘어나며 IP방식으로 공격자들이 파밍 공격 형태를 바꾸고 있다.
 
순천향대 사이버보안연구센터는 최근 국내 인터넷 뱅킹 서비스에 대한 파밍 공격에 이용되는 악성코드 유포 방식에 변화가 일어나고 있다고 23일 밝혔다.

파밍 공격은 공격자가 가짜 인터넷 뱅킹 사이트를 만들어 놓고, 정상적인 은행 고객을 가짜 사이트로 유도해 고객으로부터 인터넷 뱅킹 관련 인증 정보를 절취해 고객의 돈을 훔쳐가는 대표적인 인터넷 뱅킹 서비스 공격 방식이다.
 
지금까지 공격자들은 주로 보안에 취약한 국내 웹사이트를 해킹해 해당 웹 사이트에 악성코드를 업로드하고 이 웹 사이트의 도메인 주소(URL)를 악성코드 유포를 위한 주소로 이용하고 있었다.

그러나 악성코드가 업로드되어 유포되고 있는 국내 웹 사이트의 도메인 주소가 탐지되고 해당 웹 사이트 운영자에게 통보되어 조기에 삭제되고 있어서 공격자는 악성코드가 좀 더 많은 인터넷 사용자 컴퓨터로 유포될 수 있도록 국내 도메인 주소보다는 식별되어도 악성코드 삭제가 어려운 해외 IP 주소를 이용하는데 기인하는 것으로 분석된다.

실제로 최근 IP 기반 악성코드 유포지가 급격히 증가하고 있으며, 지난 해 12월 4주부터는 IP 기반 악성코드 유포지가 도메인 기반 악성코드 유포지를 넘어서고 있는 것으로 밝혀졌다.

염흥열 센터장은 “이 변화는 악성코드 유포 효과를 극대화하기 위한 시도로써 기존 국내 도메인 중심 악성코드 유포 방식에 더해 해외 IP 기반 유포 방식에 대한 대응도 필요하다다"라며 "공격자들의 새로운 공격 방식에 대한 지속적인 연구와 추적이 필요한 시점”이라고 강조했다. 

 

파밍 악성코드 유포지 변화 양상