[김국배기자] 지난 3년간 한국을 대상으로 악성코드를 유포하던 해킹 조직이 최근 무대를 일본으로 확장하는 정황이 포착됐다.
하우리(대표 김희천)는 해당 해킹조직이 일본 인터넷뱅킹 사용자를 대상으로 계정정보를 탈취하는 악성코드를 유포하는 것을 발견했다고 3일 밝혔다.
동일한 조직의 소행으로 추정되는 이유는 해당 조직이 자신들이 개발한 기본적인 악성코드 프레임워크를 사용하는 데 이번에도 동일한 프레임워크가 사용했기 때문이다. 한국을 대상으로 온라인 게임 계정 탈취 시 사용한 관련 레지스트리 값과 C&C 프로토콜, 악성코드 업데이트 방식 등도 동일하다는 회사 측 설명이다.
이 악성코드는 취약점 공격 사전차단 솔루션인 APT 실드(Shield) 관제를 통해 일본에서 최초 발견됐으며 다수의 일본 웹사이트에서 어도비 플래시 플레이어 취약점(CVE-2014-0515)을 악용해 유포됐다.
악성코드에 감염되면 다수의 일본 인터넷 뱅킹 사이트 접속 시 사용자가 입력한 아이디, 패스워드 등 계정 정보가 해커에게 전송되며 추가로 원격제어 악성코드가 다운로드돼 PC가 악의적인 목적으로 조종당할 수 있다.
해당 해커 조직은 2011년 6월부터 국내를 대상으로 주로 온라인 게임 계정을 탈취하거나 언론사, 포털 등 40여 개 이상의 기업을 대상으로 관리자 계정 탈취를 노리는 악성코드를 유포한 바 있다.
작년부터는 인터넷 뱅킹 파밍 기능을 추가하고 비트코인 등 가상화폐 거래사이트의 계정 정보 탈취를 통해 금전적 수익을 올리려 시도했다.
하우리 최상명 차세대보안연구센터장은 "최근 국내에서 악성코드를 유포해 금전적인 수익을 취하던 조직이 악성코드에 대한 대응이 빨라지며 수익이 줄어들자 수익 모델 확장을 위해 일본으로 넘어가고 있는 것으로 추정된다"며 "추후 일본을 대상으로 사용해 발전시킨 악성코드 기법이 국내에서도 다시 사용될 수 있어 예의주시 중"이라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기