세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스(Zeus)와 스파이아이(Spyeye)의 뒤를 잇는 강력한 악성코드가 발견됐다.

글로벌 보안 기업 안랩은 24일 강력한 기능의 금융정보 탈취형 악성코드인 시타델(Citadel) 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다.

안랩에 따르면 시타델은 ‘시타델 빌더’라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 ‘제우스 빌더’가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드다.

안랩의 분석에 따르면 시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 따라서 악성코드에 감염된 PC의 네트워크인 봇넷(Botnet)을 구성하기 위한 기능을 기본으로, 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS(소셜네트워크서비스) 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다.

또한, 공격자용 서버인 C&C 서버로부터 허위백신 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다.

이런 허위백신은 사용자의 PC를 사용하지 못하게 만들거나 허위로 악성코드에 감염됐다는 정보로 공포심을 유발한 후 이를 해결하기 위한 대가로 직접적인 송금을 강요하는 부류의 악성코드로 분류된다.

반면, 정보 탈취의 기능은 제우스에 비해 비약적으로 강화됐다. 제우스의 경우 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한다.

그러나 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함돼 APT(Advanced Persistent Threat)까지 고려한 정보 수집을 시도한다.

예를 들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.

시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다. 또 악성코드를 생성하는 빌더와관리자용 패널을 판매하는 한편, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다고 안랩은 밝혔다.

이에 안랩의 온라인 거래 보안 솔루션인 AOS(AhnLab Online Security)을 통해 이러한 시타델, 스파이아이, 제우스와 같은 고도화한 타깃형 악성코드에 대응하는 특화 설계된 보안 플랫폼을 제공하고 있다. 

AOS는 시큐어 브라우저(AOS Secure Browser), 안티키로거(AOS Anti-keylogger), 방화벽(AOS Firewall), 백신(AOS Anti-virus/spyware)로 구성되어 악성코드 공격 및 키보드를 통한 정보 탈취, 허가되지 않은 외부 침입 방지 등 다양한 보안 위협을 막아낸다.

또 스마트폰용 버전인 ‘AOS 모바일’을 출시하고 인텔의 개인정보보호 기술인 인텔 IPT(Intel® IPT)를 AOS에 적용해 더욱 강력해진 사용자 인증 기능을 제공한다. AOS는 현재 국내 다양한 금융사를 비롯해 남미의 배너멕스와 산탄데르, 북미 지역의 코너스톤뱅크 등 해외 금융권에도 적용되고 있다.

안랩 시큐리티대응센터 이호웅 센터장은 “이제 악성코드는 대부분 금전적인 목적으로 제작되고 있다고 해도 과언이 아니다. 특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다”고 말했다.

이어 “사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하고, 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수적이다”라고 덧붙였다.

정효정 기자  hj@wsobi.com

<저작권자 © 여성소비자신문, 무단 전재 및 재배포 금지>