.gif)
비트코인 이용자의 계정탈취 기능 포함...보안 패치 필수
[보안뉴스 김태형] 최근 ESET의 클라우드 기반 악성코드 수집 시스템인 LiveGrid 데이터의 연구 결과에서 Bitcoin(비트코인)을 노리는 트로이목마 ‘Hesperbot’이 발견됐다.
이 악성코드는 신뢰할 수 있는 기관과 연계된 것처럼 가장해 유포 활동을 벌이고 있으며 사용자가 악성코드를 실행하도록 유도해 사용자들의 주의가 필요하다.
주로 피싱 메일을 통해 유포되어 Android, Symbian 및 Blackberry 기기를 감염시키며 개인 키가 저장된 비트코인 지갑으로의 접근을 시도해 비트코인을 훔치는 행위를 한다.
이러한 가운데 국내에서도 비트코인 이용자의 계정탈취 기능을 포함한 악성파일이 발견됐다. 잉카인터넷 대응팀은 국내에 유포 중인 온라인 게임 계정탈취 기능의 악성파일 중 일부 변종이 국내의 비트코인 이용자의 계정탈취 기능을 포함한 것을 발견했다고 밝혔다.
이 악성파일은 기존에 널리 알려진 계열로 국내 유명 온라인 게임 이용자들의 계정탈취 기능을 목적으로 다년간 국내에 전파되고 있어, 앞으로 비트코인 계정탈취에도 많은 시도가 있을 것으로 우려되고 있다.
비트코인은 해외에서 2009년부터 사용되고 있고 다양한 보안위협 이슈도 함께 발생하고 있다. 국내에서는 그동안 다소 생소했었으나 지난 12월 1일 인천 시청역점 파리바게트 가맹점 주인의 아들 제안에 따라 해당 매장에서 비트코인 결제가 가능한 서비스를 도입했다는 소식이 알려지면서 국내에서도 다양한 반응을 보이고 있다.
인터넷에 소개된 내용에 의하면 뉴욕에서 금융학을 전공한 둘째 아들 이 모씨가 지난 6월 경 비트코인을 첫째 아들에게 소개했고, 형제들은 국내 비트코인 거래소 관계자와 의논하던 중 아버지에게 비트코인 결제를 매장에 도입하자고 제안했고, 원화를 비트코인으로 환산하는 안드로이드앱을 개발해 기존에 있던 코인베이스 앱을 통해서 결제하도록 했다는 것.
매장 내에서 물건 금액을 비트코인 환산 시스템에 입력한 뒤, QR 코드를 스캔하면 코인베이스를 통해 온라인 가상계좌에 연결되고 해당 매장 대표 계좌로 이체하면 결제가 이뤄진다.
지난 12월 5일까지 총 4명의 고객이 비트코인을 이용해서 계산했다고 한다. 이렇게 오프라인 매장에서 실제 제품구매에 비트코인이 적용되자 인터넷에서 많은 관심과 소개가 이어졌다.
이와 같이 국내에서 비트코인 사용처 1호가 등장했다는 소식이 언론 등을 통해서 다양하게 알려진 후, 기존 사이버 범죄자들도 본격적으로 한국 맞춤형 악성파일에 비트코인 이용자들을 노리기 시작한 것으로 추정된다.
지난 12월 6일에는 국내에 배포된 온라인 게임 계정 악성파일 변종 중 일부에서 기존의 기능에 비트코인 거래소 등의 계정탈취 기능이 추가된 것이 잉카인터넷 대응팀에 의해서 처음 확인됐다.
잉카인터넷 대응팀은 “악성파일은 기본적으로 국내 유명 온라인 게임 이용자들의 계정 탈취 기능을 보유하고 있으나, 이번에 새롭게 발견된 종류는 국내외 비트코인 관련 특정 사이트 이용자들의 계정 탈취 기능이 추가됐다”면서 “악성파일에 의해서 탈취 대상 시도로 정해진 곳은 총 14개 사이트이며, 국내외 대표 비트코인 거래소들의 웹 사이트이다. 변종에 따라서 사이트는 언제든지 추가될 수 있다”라고 설명했다.
또한 “유포에 관련된 악성파일은 국내 유수의 웹 사이트에 접속해 실제 존재하지 않는 이미지 파일을 다운로드하는 기능을 수행하기도 하며, 특정 사이트의 관리자 계정 탈취 기능을 수행했던 변종이기도 하다. 기존의 온라인 게임계정 탈취용 악성파일과 같이 국내 무료 보안제품 3종에 대한 방해 기능도 포함되어 있다”라고 잉카인터넷 대응팀은 덧붙였다.
이처럼 비트코인과 관련된 사회적 관심과 함께 사이버 범죄자들이 이를 노리고 있다는 점을 명심하고, 이용자들은 자신의 중요한 계정정보가 외부에 노출되지 않도록 각별한 주의가 필요하다.
잉카인터넷 대응팀은 “이러한 악성파일은 대표적인 3대 보안취약점(Microsoft OS/APPLICATION, Adobe Flash/Reader, Oracle JAVA)을 이용해서 전파하는 경우가 많으므로, 반드시 최신 버전의 업데이트를 설치하고 유지하는 노력이 필요하다”면서 “이와 함께 신뢰할 수 있는 Anti-Malware 프로그램 등을 이용해서 악성파일 감염여부를 정기적으로 점검하도록 한다. 보안제품은 항시 최신 버전으로 자동업데이트 되도록 설정해 두고 실시간 감시 기능과 예약검사 기능들을 활성화해 사용하면 효과적”이라고 강조했다.
한편, 잉카인터넷 nProtect 보안 제품군에는 해당 악성파일들에 대해서 Trojan/W32.KRBitCoiner 라는 대표 진단명으로 추가된 상태다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
