안랩(대표 김홍선, www.ahnlab.com)은 지난 7월에 발견된 ‘보안모듈의 메모리 해킹 악성코드’에서 좀더 진화한 형태의 금전유출 시도 악성코드를 발견하고, 분석결과를 발표했다.
이번에 발견된 악성코드는 금융정보를 유출하는 기존 메모리 해킹(수정)방식(지난 7월 발견)에, 인터넷뱅킹 거래 시에 공격자가 원하는 특정 은행 계좌번호와 이체 금액으로 변경하는 기능이 더해졌다.
기존의 메모리 해킹방식은 사용자가 금융거래를 위해 금융기관 사이트 방문 시 보안을 위해 자동으로 구동되는 키보드 보안솔루션, 공인인증서 등 보안모듈의 메모리를 해킹(수정)한다. 이후 정상 작동 과정에서 보안모듈을 무력화한 후, 공인인증서 비밀번호, 보안카드 번호 등 금전 이체에 필요한 정보를 탈취한다. 이어서 거래가 정상적으로 이루어지지 않도록 강제로 인터넷뱅킹을 종료한 후, 탈취한 금융정보와 동일한 보안카드 번호를 이용해 금전을 탈취한다. 이 때, 거래가 성사되지 않은 인터넷뱅킹 건은 은행에서 동일한 보안카드 번호를 요청하는 점을 악용했다.
