[아이티비즈] 빛스캔(대표 문일준)은 최근 국내를 공격하던 조직 중 하나에서 일본을 대상으로 하는 파밍 공격용 코드가 나타난 정황을 포착했다고 13일 밝혔다. 빛스캔은 아직 테스트 단계로 보이지만, 실제 일본에 공격이 발생할 경우, 국내와 마찬가지로 상당한 피해가 발생할 가능성도 있다고 설명했다.
국내 웹사이트를 통해서 일본 은행에 관련한 파밍 공격징후가 포착됐다. 현재 등장한 사례는 테스트 목적으로 추정되지만, 대한민국과는 달리 일본에서는 파밍 공격에 대한 보고 및 피해 사례가 발생한 경우가 거의 없었으며, 본격적인 공격이 발생할 경우 심각한 상황으로 치닫을 수 있어 지속적인 관찰이 필요한 상태이다.
국내 인터넷을 통한 금융 범죄는 2012년도를 기점으로 변화했으며, 그 전에는 게임이나 캐시 등 아이템을 노린 범죄가 다수 차지했으나, 2012년도 하반기에 게임 아이템 거래 등에 대한 관련 제도가 강화되면서, 공격자들은 새로운 수익원을 찾기 시작했다. 그 결과 2013년초부터는 개인 금융 정보 탈취를 노린 파밍 악성코드를 개발하여 유포하기 시작됐다.
파밍 악성코드가 유포된지 2년여가 지난 현재에는 국내 웹사이트를 통해 다운로드 되는 악성코드의 비율 중 파밍에 관련한 바이너리가 상당 수를 차지하고 있으며, 개인금융정보를 탈취하기 위한 공격 기법도 지속적으로 변화하고 있는 실정이다.
2015년 10월 2일, 국내에서 유포되었던 파밍 악성코드에서 연결되는 서버에서는 국내 은행뿐만 아니라, 일본까지도 확장하려는 움직임이 포착됐다. 일본 은행을 타겟으로 하는 파밍 악성코드는 이미 지난해 6월달에 보고됐지만, 당시에는 직접적으로 은행 사이트를 직접 접속해야 했다.
하지만, 이번에 발견된 것은 국내에서 파밍 악성코드 감염시 변조된 파밍 리스트에 포함되어 있는 네이버, 다음, 네이트 등의 유명 포털사이트를 통해 가짜 은행 사이트 연결하는 기법과 같이 일본에서 가장 많이 접속하는 포털사이트를 통해서 가짜 은행사이트로 접속하게 하는 기법이 이용됐다.
파밍 공격을 분석한 결과, 공격자는 일본 은행 정보를 탈취하기 위해 야후 및 구글재팬의 플로팅 배너를 통해 Mizuho Bank, 미쓰이스미토모, 리소나 은행 등의 사이트로 연결하게 했으며, 사용자가 실제로 해당 은행에 대한 금융 정보를 입력할 경우 국내은행과 별개로 관리하는 서버에 저장했다.
하지만, 입력된 정보를 확인한 결과, 피해자가 직접 입력한 값은 없었고 단순히 테스트를 한 값만 저장돼 있었다. 하지만, 테스트 과정 이후에 실제적으로 일본에서 파밍 악성코드가 활동할 경우 파밍에 관한 정보가 거의 보고된 바가 없기 때문에 많은 혼란이 예상되며, 이를 통해서 공격자는 많은 이득을 취할 것으로 예상된다.
전체적으로 일본의 상황은 한국에서의 파밍이 첫 등장한 2013년도의 시기와 비슷하다고 볼 수 있다. 한국에서도 2013년도 처음 파밍 악성코드가 등장했을 때에 많은 혼란이 있었으며, 주로 웹을 통해서 악성코드의 유포가 이루어졌으며, 지금까지 수천억원 이상의 피해가 발생한 것으로 알려져 있다. 마찬가지로, 일본에서도 파밍 공격이 발생한 사례가 거의 없어, 관련된 대응이 충분하지 않거나 늦어질 경우 국내와 같은 막대한 피해가 발생할 것으로 예상된다.
이러한 파밍 공격을 막기 위해서는 파밍 공격에 이용되는 악성코드만을 막는 기존의 방법으로는 국내의 경험에 비추어 볼 때, 충분한 대응이라고 보기 어렵다. 웹사이트를 통해 손쉽게 대량으로 감염시키는 ‘공격 통로’인 악성 URL을 사전에 탐지하여 차단하는 방법을 이용할 필요가 있다.
