파밍사이트에 금융정보 입력한 피해자 '매주 200명 넘어'

파밍 사이트에서 폰뱅킹 비밀번호도 별도로 수집하는 정황 [자료= 빛스캔]

아주경제 장윤정 기자= 파밍 악성코드 확산이 위험수위에 달했다.

국내 한 보안업체 조사에 따르면 파밍사이트에 금융정보를 입력, 피해를 입은 사용자가 매주 200여명에 달하는 것으로 나타났다. 파밍 악성코드로 빼낸 정보를 이용해 실제 텔레뱅킹 금액 인출을 시도한  정황도 발견됐다. 

연말이 다가오면서 초대형 멀웨어넷(MalwareNet)이 활동, 인터넷 사용이 늘어나는 주말을 겨냥해 유포되는 등 한 해의 마지막 한탕을 노리는 어두운 손길이 바빠진 셈이다.

연말연시 파밍 악성코드로 인한 금융피해를 막기 위한 정부와 금융당국의 주의가 요망된다.

26일 보안업계에 따르면 매주 수천건이 넘는 인증서 파일의 탈취와 수백명의 파밍 피해자 정보가 직접 입력되고 있는 것으로 드러났다.

보안업체 빛스캔은 파밍사이트에 금융정보를 입력한 피해자를 확인한 결과 매주 200여명에 달한다고 밝혔다. 이 회사 측은 "11월 중순까지 모두 800명가량의 피해자 정보를 한국인터넷진흥원 등 관계기관에 전달해 추가 피해를 막을 수 있도록 조치했다"며 "연말까지 피해자가 더 늘어날 수도 있다"고 경고했다. 
 

서버에서 발견된 금융 정보 관리 내용 중 텔레뱅킹 연관내용[자료 = 빛스캔 ]

빛스캔은 앞서 지난 14~16일 공인인증서 유출 피해가 급증, 공격자들이 대규모 멀웨어넷을 활용해 최소 300개 이상의 웹사이트 방문 시 즉시 악성코드에 노출되도록 한 정황이 발견됐다고 밝힌 바 있다. 

무엇보다 심각한 점은 확인된 금융정보의 내용 중 공격자가 계좌 조회 및 이체, 잔액 확인을 직접적으로 한 내용이 기록돼 있다는 점이다. 관리 내역 중 일부에서 파밍으로 확보된 정보를 바탕으로 텔레뱅킹 시도와 같은 금액 인출을 시도한 정황도 발견됐다. 

주말이면 악성코드의 활동이 기승을 부리는 것도 심각하다. 지난 주말에는 여태껏 관찰된 바가 없는 초대형 멀웨어넷이 활동하기 시작했으며, 1000여개의 웹사이트에 숨겨져 방문하는 사용자들을 감염시키는 수준인 것으로 나타났다.

이 회사 관계자는 "초대형 멀웨어넷의 심각한 문제는 단 하나의 내용 변경만으로도 1000개 이상의 웹서비스들에서 동일한 공격이 방문하는 이용자들을 대상으로 발생된다는 점"이라며 "대규모 감염이 상시적으로 발생할 수 있는 상황이다. 실시간 대응이 어려운 공격 기법들을 공격자들이 즉시 활용할 수 있다는 점에서 피해가 극심해질 수 있다"고 지적했다. 
 

문일준 빛스캔 대표는 "2014년 하반기에는 기존의 탐지 방식으로는 탐지되지 않는 공격 도구들이 주로 이용되고 있는 상황이라 탐지와 대응은 많이 부족하다"며 "웹서비스 접속만으로도 감염되는 현실에 대한 대안이 시급하다"고 강조했다. 

그는 "신문기사를 보고 인터넷 쇼핑했을 뿐인데도 불구하고 어느 사이 PC는 좀비 PC가 되어 원격조종된다"며 "인터넷이 완전히 차단된 곳이라면 모르겠으나 조금이라도 허용되는 곳들은 내부의 PC들이 웹서핑만으로도 감염될 가능성이 있는 상황은 사용자들의 주의만으로 해결할 수 있는 수준이 아니다"고 정부의 대안 마련을 촉구했다.