[단독]인터넷뱅킹 메모리해킹 공격 주범, K조직 실체 해부한다!

[보안멘토]

 온라인게임·사이버머니에 이어 인터넷뱅킹 악성코드 제작 뛰어들어
韓中 양국 사이버범죄자들 모두 포함된 국제적 해커조직 가능성 높아
이슈메이커스랩 최상명 리더 “4년간 국내서 막대한 이득 취했을 것”

[보안뉴스 권 준] 최근 인터넷뱅킹을 해킹하는 악성코드가 점점 고도화되어 이제는 정상적인 거래 시에도 메모리 해킹을 통한 계좌정보 변조로 막대한 금전적 피해를 입는 인터넷뱅킹 사용자들이 급증하고 있는 현실이다.

이와 관련 악성코드 추적 전문그룹인 이슈메이커스랩(리더 최상명)은 최근 국내에서 메모리해킹 사건을 일으킨 해커조직을 끈질기게 추적, 그 실체를 파헤쳤으며 이를 본지가 최초로 심층 보도한다.  

▲ 금융 악성코드 제작조직(K조직)의 악성코드 제작일지 추적 [자료 : 이슈메이커스랩]

이슈메이커스랩에 따르면 국내 인터넷뱅킹 사용자를 노리는 악성코드 제작조직은 다수 존재하지만 그 중 메모리해킹 기법을 사용하여 보안모듈을 무력화시키고 금융정보를 절취하는 악성코드를 제작하는 조직은 대표적으로 4개 정도가 존재하는 것으로 알려졌다.

그 중 가장 최근에 메모리해킹을 통해 정상적인 계좌이체 중 입금계좌번호와 입금금액을 변조하여 금전적인 이득을 취하고 있는 한 조직을 추적했으며, 해당 조직을 다른 조직들과 구별하기 위해 편의상 ‘K조직’이라 명명한 이 조직은 기술적으로 가장 뛰어난 능력을 보유하고 있다는 게 이슈메이커스랩 측의 설명이다. 

이들을 추적한 결과, K조직은 2010년부터 무려 4년간 국내를 대상으로 온라인게임, 사이버머니, 인터넷뱅킹을 겨냥한 악성코드를 제작·유포했으며, 이를 통해 막대한 규모의 금전적 이득을 취했을 것으로 추정된다.

K조직의 활동시기 및 주요 특징

K조직은 2010년부터 국내를 대상으로 온라인게임 계정 절취를 시작으로 2012년에는 게임 등에서 결제수단으로 사용되는 문화상품권과 같은 사이버머니의 계정정보 및 PIN번호를 절취해왔던 것으로 드러났다. 최근인 올해 6월부터는 인터넷뱅킹 분야에도 뛰어들어 메모리해킹을 통해 보안모듈을 무력화시킨 뒤 금융정보를 절취하는 등 K조직은 4년간이나 국내를 대상으로 악성코드를 제작·배포해왔던 셈이다.  

K조직의 경우 다른 사이버범죄 조직과 비교했을 때 가장 큰 특징은 다른 조직들에 비해 인터넷뱅킹 악성코드 제작에는 늦게 뛰어들었지만, 그 동안 온라인게임 및 사이버머니 악성코드 제작을 통해 축적된 기술과 노하우를 바탕으로 그 어떤 조직보다 빨리 국내 인터넷뱅킹에 최적화된 악성코드를 제작했다는 점이다.

더욱이 같은 메모리해킹 기법을 이용하는 조직들 중에는 최초로 실제 거래 시 입금계좌정보를 변조해 대포통장에 실시간으로 직접 입금하는 기법을 사용하는 것으로 분석됐다.

K조직의 실체와 관련해 이슈메이커스랩 최상명 리더는 “해당 악성코드는 개발 환경을 고려할 때 중국에서 제작된 것으로 추정된다”면서도 “우리나라의 온라인게임에서부터 사이버머니, 인터넷뱅킹 환경 등을 너무나 잘 알고 있을 뿐더러 악성코드 유포 측면에서는 다양한 제휴 프로그램을 통해서도 배포되고 있어 국내 사이버범죄자들이 많은 도움을 주고 있는 것으로 보인다”고 우려했다.

즉, K조직의 경우 중국인과 우리나라 사람들이 함께 포함돼 있거나 최소한 공조체제를 갖추고 있는 등 국제 사이버범죄조직의 형태를 띠고 있을 가능성이 높다는 얘기다.

K조직이 노린 공격대상

이들 K조직이 지금껏 노려왔던 대상은 크게 세 가지다. 첫 번째 대상은 온라인게임으로, 각종 온라인게임은 물론 해당 온라인게임을 서비스하는 포털 사이트의 계정정보를 절취했다.

두 번째는 바로 사이버머니. 문화상품권, 해피머니, 틴캐시 등과 같은 사이버머니를 다루는 △북앤라이프(도서문화상품권) △컬쳐랜드(문화상품권) △해피머니(해피머니상품권, 해피캐시) △틴캐시(틴캐시) 등 각 업체의 계정정보 및 상품권 PIN번호를 절취해 천문학적인 돈을 벌여들었던 것으로 추정된다. 인터넷을 통한 사이버머니 사기 피해사례를 실제 살펴봐도 K조직이 배포한 악성코드에 의해 금전적인 피해를 입은 사용자가 매우 많은 것으로 분석됐다.  

마지막 대상이 바로 최근 문제가 되고 있는 인터넷뱅킹 분야로, 현재까지 국민은행, 기업은행, 농협, 신한은행, 신협, 우리은행, 우체국(은행명 가나다순) 등 대표적인 국내 은행 7곳을 대상으로 제작됐으며, 그 가운데 1곳은 해당 악성코드에서 최근 제거된 것으로 알려졌다.  

K조직의 악성코드 유포방법

K조직은 악성코드를 유포하기 위해 △웹 브라우저 및 웹 브라우저 플러그인 등의 취약점 이용 △검색도우미 프로그램, 제휴 프로그램 등을 통해 몰래 설치되도록 함 △정상 프로그램의 업데이트 파일을 변조하여 업데이트 시 저절로 악성코드가 설치되도록 하는 등의 방법을 활용했다. 

이러한 방법을 통해 K조직은 온라인게임, 사이버머니에 이어 올해 6월부터 국내 인터넷뱅킹을 노리는 기능을 악성코드에 추가했다. 메모리 해킹을 통해 인터넷뱅킹에서 사용하는 E2E(End-to-End) 보안모듈을 무력화시키고, 사용자 금융정보를 절취하는 기능을 포함시켰던 것이다.

K조직의 실체를 추적해 낱낱이 분석한 이슈메이커스랩의 최상명 리더는 “K조직은 무려 4년간 온라인게임, 사이버머니, 인터넷뱅킹 악성코드를 통해 천문학적인 규모의 불법 수익을 올렸을 것으로 추정된다”며, “이렇듯 K조직이 국내를 대상으로 4년간 막대한 금전적 피해를 입혔지만, 아직까지 해당조직이 잡히지 않았다는 점은 굉장히 심각한 문제”라고 지적했다.

이러한 해킹사건들의 근원적 해결방안으로 그는 “이제는 악성코드가 발견될 때마다 이를 삭제처리하고 백신 패턴에 업데이트하는 데만 급급한 단편적인 대책에서 벗어나 악성코드를 제작·유포하는 해커조직의 실체에 주목해야 한다”며, “악성코드를 계속 역추적해 나가다보면 이를 배포한 조직의 실체에 접근할 수 있고, 이들을 검거할 수 있는 단서를 발견할 수 있게 된다”고 설명했다.

덧붙여 그는 검찰과 경찰 등 수사기관에서 악성코드 추적 시스템을 도입해야 한다는 점과 함께 관련 전문가를 보다 체계적으로 양성하고 채용할 수 있는 시스템을 갖춰야 한다고 강조했다.

본지는 메모리해킹 공격 주범인 K조직의 실체를 파헤친 이번 단독보도에 이어 K조직이 국내 7개 은행을 대상으로 감행한 메모리해킹 공격실태, 각 은행별로 차등화한 공격주기 및 악성코드 기능 추가현황, 그리고 관련 대책에 대해 후속보도를 진행할 예정이다.  

[권 준 기자(editor@boannews.com)]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))