최근 피싱, 파밍 기법을 이용한 금융정보탈취 동향

□ 요약
  ○ 한국인터넷정보진흥원(KISA)가 2014년 5월 기준 4,000건 이상의 피싱 사이트를 차단하고 있다고 밝힘. 주로 정부· 공공기관이나 금융기관을 사칭하는 경우가 대부분이며, 차단된 피싱 사이트 중 약 70%가 금융기관 사칭 사이트인 것으로 확인 됨. KISA가 탐지한 악성코드 유형을 보면 금융정보탈취 공격의 증가세가 더욱 명확하고, 2014년 1월부터 5월동안 탐지한 악성 코드 유형 중 드롭퍼와 금융 사이트 파밍의 비율이 가장 높은 것으로 조사됨. 이처럼 최근 공격자가 노리는 것은 결국 금융정보라 는 것이 확인되고 있으며, 공격방법 또한 다양화 돼 점차 사용자가 이상을 감지하기 어려운 방식, 서버 관리자가 악성행위를 탐지하 기 어려운 방식으로 진화해 나가고 있는 것으로 분석됨

□ 주요 내용
  ○ 최근 금융정보탈취 공격은 제휴 프로그램 변조, 웹하드 업데이트 설정파일 및 홈페이지 변조, 공유기 DNS 변조, 호스트 파일 변조, 브라우저 <iframe> 삽입 등으로 이뤄지는 것으로 나타남

  ○ 제휴 프로그램 변조는 애플리케이션 이용을 위해 프로그램을 설치하 는 경우, 필수 프로그램 이외에 다수의 제휴 프로그램이 함께 설치되는 방식이며, 웹하드 업데이트 설정파일 및 홈페이지 변조는 웹하드 업데이트 프로그램 실행 시 설정파일을 참조한다는 점을 악용해, 업데이트 설정파일의 링크를 변조하거나 악성링크를 삽입, 악성코드 를 다운로드 받게 한는 방식임

  ○ 공유기 DNS 변조는 원격제어가 허용되어 있고, 관리자 비밀번호 가 없거나 취약한 비밀번호로 설정되어 있는 공유기에 원격 접속해 DNS 서버 IP를 수동 설정하거나 변조한 후 사용자가 공유기 에 연결된 스마트폰 및 PC로 특정 사이트에 접속할 경우 가짜 사이트로 연결되도록 해 악성앱을 다운로드 받도록 유도하는 것을 말함

  ○ 호스트 파일 변조는 기존과 달리 IP대신 10진수 숫자를 입력하는 기법을 사용하는 진화된 방식으로 사이트 접속 시 악성 IP로 연결시키는 방법이며, 브라우저 <iframe> 삽입 방 식은 우선 사용자 PC를 감염시킨 후 브라우저를 조작해 <iframe>를 이용한 악성링크 팝업을 삽입하는 방법으로 정 보 탈취에 이용되고 있음

  ○ KISA는 이에 대한 대응방안으로 개인 및 기업의 경우 백신 점검 을 주기적으로 하고, 보안점검 및 보안패치 등을 통해 금융정보유출에 대비하하고, 최근 금융정보탈취 악성코드는 PC의 인터넷 익스플 로러(IE), 자바(Java), 플래시 플레이어(Flash player) 등의 취약점을 종합적으로 확인 후, 가장 약한 부분을 찾 아내 그에 맞는 악성코드를 추가로 다운로드하게 하므로, 윈도우뿐만 아니라 플래시, 자바 등 서비스 애플리케이션도 최신보안 업데이트 를 적용해야 할 것을 당부함

출처 : 한국인터넷진흥원
http://www.krcert.or.kr/kor/data/securityAnalyzationView.jsp?p_bulletin_writing_sequence=21728

반응형