갈수록 지능화되고 정교해지는 해킹 범죄 주의보
악성 봇넷을 통해 인터넷뱅킹 사이버 범죄조직을 추적하던 연구원들이 범죄자들의 교란 수법에 오히려 속아 넘어간 황당한 일이 발생했다.

인터넷뱅킹 계좌에서 돈을빼내고 피해자의 화면을 위조해 범죄를 숨기는데 이용된  'URLZone' 트로이목마의 악성 해커 조직은 빼낸 자금을 세탁하는데 사용한 운반책들의 계좌들을 숨기려고 여러가지 수법을 동원하고 있는 것으로 파악됐다.

RSA 프로드액션((FraudAction) 리서치 랩은 범죄자들이 그들의 악성코드가 수사관들에 의해추적하는 것을 고려해 이를 따돌릴 수 있는 명령및 제어 서버(command and control server)를 프로그램했다고 말했다.

URLZone은 독일의 몇몇 최고 은행 고객들의 돈을 노려온 트로이목마다. 대부분 피해자들은 취약한 일반 웹사이트들이나 해커들이 만들어 놓은 가짜 사이트들에 방문한 후에 트로이목마에 감염돼 피해를 입은 것으로 전해지고 있다.

범죄 방법은 다음과 같다. 해당 트로이목마는 피해자의 PC를 감염시킨 후 평상시에는 숨어있다가 이용자가 은행 계좌에 로그인 하면 작동을 시작한다. 그리고 로그인 됨과 동시에 우크라이나에 있는 제어 센터에 접속해 피해자의 계좌에서 돈을 이체하기 시작한다. 제어 센터는 트로이목마에게 피해자의 온라인 은행 계좌에서 얼마의 돈을 이체하고 어떤 운반책 계좌로 이체할 것인지를 결정한다.

이체된 돈은 자금 운반책들의 일반 은행 계좌들로 이체되고 그 운반책들은 범죄자들이 선택한 계좌로 다시 이체한다. 운반책들은 대부분 온라인을 통해 재택 근무라는 명목으로 모집된 일반인으로서 범죄자들은 교묘한 수법을 이용해 운반책들이 자금의 돈세탁 채널이라는 사실을 눈치채지 못하게 하고 있다.

연구원들은 의도적으로 트로이목마에 감염시켜 함정조사를 목적으로 하는 허니팟(honeypot) 컴퓨터를 통해 URLZone의 명령 및 제어 센터에서 운반책 계좌들의 명단 추출을 시도했으나 실제 이용되지 않는 가짜 계좌밖에 찾을 수 없었다고 전했다.

그 범죄자들은 감염된 컴퓨터들이 정상적으로 감염된 URLZone 트로이목마인지 탐지하는 테스트 알고리즘을 개발했기 때문이다. 가령, URLZone 트로이목마는 감염된 모든 컴퓨터에 고유한 식별(ID) 코드를 지정하고 있다. 만약 감염된 컴퓨터의 ID가 서버에 등록된 유효한 트로이목마 ID가 아닐 경우, 운반책의 계좌가 아닌 다른 계좌가 제공되도록 조작해 놓은 것이다.

RSA 연구원들은 블로그를 통해 "흥미롭게도 그들을 추적하려는 보안 연구원들을 속이기 위해 제공한 가짜 계좌는 URLZone 피해자들이 정상적으로 거래했던 계좌 기록들을 제공하고 있다"고 말했다.

보안전문가들은 "이러한 트로이목마에 의한 금융사기 피해를 예방하기 위해서는 PC에 상용 백신을 설치하고 최신 업데이트를 주기적으로 해야 하며 PC방이나 공공장소에 설치된 PC로는 인터넷뱅킹을 하지 말아야 한다"고 주의를 당부했다.

[호애진 기자(is@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>