2022-01-29 16:30 (토)
인터넷뱅킹 정보탈취용 스파이아이 분석 결과
상태바
인터넷뱅킹 정보탈취용 스파이아이 분석 결과
  • 길민권
  • 승인 2012.04.02 17:00
이 기사를 공유합니다

북미지역이 48%로 가장 활발한 활동, 한국도 5위 차지
지속적 변형 발견…종합적 관점의 은행 보안 필요
안랩(대표 김홍선 www.ahnlab.com)은 온라인 뱅킹 사용자 정보를 훔쳐내는 악성코드인 ‘스파이아이(SpyEye)’를 자체 분석한 결과, 북미지역에서 가장 활발하게 활동하고 있는 것으로 나타나 해당지역의 은행을 이용하는 사용자의 주의가 필요하다고 밝혔다.
 
스파이아이는 사용자 정보를 훔쳐내는 기능의 악성코드로, 특히 인터넷 뱅킹 정보를 탈취하는 것으로 악명높은 ‘제우스(ZeuS)’와 더불어 전 세계적으로 많은 피해가 보고된 악성코드이다. 스파이아이는 2009년 12월경 처음 발견 되었으며, 이후 지속적으로 변형이 만들어져 전 세계적으로 유포되고 있다. 제우스와 스파이아이로 인한 피해액은 전세계적으로 약 1억 달러(약 1천 1백억)으로 추산되고 있다.
 
안랩의 패킷 데이터 분석 시스템인 '패킷 센터'에서 스파이아이의 C&C서버(해커가 자신이 구축한 악성코드 네트워크에 명령을 내리는 서버)정보를 포함한 관련 호스트 정보를 추출한 결과, 북미지역이 48%로 가장 많은 도메인 보유 비중을 차지하고 있는 것으로 나타났다. 미국에 이어 러시아가 7%, 우크라이나가 6%로 그 뒤를 이었으며, 한국도 4%나 차지해 5위를 기록했다. 이러한 분석결과는 스파이아이의 타깃이 미국에 가장 많이 위치할 뿐만 아니라 활동도 북미지역에서 가장 활발하다는 것을 의미한다.
 
또한 스파이아이는 2010년 개발코드(toolkit)가 유출 된 이후 최근 10348버전까지 다양한 버전이 나타났다.안랩의 패킷센터에 수집된 자료를 분석한 결과, 버전 별로는 10310버전이 34.6%를 차지해 가장 많이 유포되고 있는 버전으로 나타났으며, 10299버전이 14.7%, 10280 버전이 14.6%를 차지해 그 뒤를 이었다.이는 스파이아이가 앞으로도 계속해 변종이 나타나 활동을 지속할 것이라는 의미로 해석할 수 있다.
 
안랩의 AOS(AhnLab Online Security)는 이러한 스파이아이나 제우스와 같은 고도화된 악성코드에 대응하기 위해 특화 설계된 보안 플랫폼이다. AOS는 시큐어브라우저(AOS Secure Browser), 안티 키로거(AOS Anti-keylogger), 방화벽(AOS Firewall), 백신(AOS Anti-virus/spyware)로 구성되어 있다. AOS시큐어브라우저는 뱅킹 트랜잭션 실행 시 독립적으로 작동하는 전용 보안 브라우저로, 스파이아이나 제우스, 스크린캡쳐, HTML 인젝션 등의 공격에서 사용자의 웹사이트를 보호한다.
 
AOS안티 키로거는 키보드를 통해 입력되는 계좌정보나 ID, 패스워드 등 개인 정보 탈취를 방지하고, AOS방화벽은 허가되지 않은 외부 침입을 진단 및 차단한다. AOS 안티바이러스는 안랩의 클라우드 기반 보안 기술을 바탕으로 다양한 악성코드의 공격을 막아낸다.
 
은행의 IT시스템이 아니라 사용자의 PC를 노리는 스파이아이나 제우스와 같은 고도화된 악성코드를 개별 사용자 PC에 대한 보안이 없이 방어하기는 매우 어렵다.따라서, 실제 사용자들의 PC에 안티키로거,방화벽, 백신 등의 기능이 있는 에이전트가 설치되고 독립적 브라우저 상에서 인터넷뱅킹을 실행하는 AOS의 접근 방식은 현존하는 보안위협뿐만 아니라 앞으로 나올 다양한 보안위협에도 대응할 수 있다.
 
AOS는 현재 한국 씨티은행, 남미의 배너멕스(Banamex), 산탄데르(Banco Santander)와 북미의 코너스톤 은행(Cornerstone Community Bank)등 세계 유명 은행에 도입되어 안전한 온라인 뱅킹 환경을 제공하고 있다.
 
안랩은 미국 금융감독원(FFIEC)에서 '인터넷뱅킹 보안 강화 가이드’를 발표하는 등 앞으로 인터넷 뱅킹 보안이 중요해지는 환경에서 더 큰 시장확대를 기대하고 있다.
[데일리시큐=길민권 기자]