.gif)
원격제어 프로그램 팀뷰어 악용한 무단결제 공격시도 줄줄이 포착
무작위 대입 공격, 출처 미확인 프로그램 설치 등으로 인한 악성코드 감염 가능성
팀뷰어 사용할 때만 켜놓고 평상시 활성화 금지, 비밀번호 자주 교체해야
[보안뉴스 김경애] 지난 1월부터 최근까지 원격제어 프로그램인 팀뷰어를 이용한 무단결제 공격시도가 지속적으로 포착되고 있는 것으로 드러났다.
▲지난 10일 한 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
팀뷰어는 원격제어 프로그램으로 전 세계 어디에서든 PC나 서버에 연결할 수 있어 많은 사람들이 사용하고 있다. 이러한 가운데 올해 들어 공격자가 개인정보를 탈취한 후, 원격제어로 무단결제와 인터넷뱅킹 등을 진행해 돈을 무단 인출하는 사건들이 잇따라 발생하고 있다.
지난 10일 커뮤니티 사이트에 올라온 게시글에는 “회사 컴퓨터로 업무 중인데 마우스 포인트가 혼자 마음대로 움직이며, IE를 실행하고, 결제사이트 창이 열렸다”며 “우측 하단에는 팀뷰어 로그인 팝업이 뜨면서 원격 중이라는 메시지가 표시됐다. 이후 바로 PC 리셋키를 눌렀더니 블루스크린이 떴다”고 밝혔다.
▲지난 6일 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
이보다 앞서 지난 6일에도 유사한 사건이 발생했다는 글이 올라왔다. 또 다른 게시글에는 “컴퓨터로 유튜브를 보고 있는 도중 마우스가 혼자 멋대로 인터넷 창에 결제사이트 주소를 입력해 접속한 후 프로그램이 실행됐다”고 언급했다.
해당 글 게시자는 컴퓨터를 24시간내내 켜두고 있고, 업무 때문에 팀뷰어를 실행시켜 놓고 있다며 팀뷰어를 통해 공격시도가 이루어진 것으로 추측했다. 또한, 백신결과 win/adware하고 keygen바이러스가 검출됐다고 덧붙였다.
더욱이 카드결제나 휴대폰 결제가 되면 사용내역을 문자로 받게 되는데, 이를 우회시킬 수 있어 사용자 모르게 피해가 확산될 수 있다는 우려도 제기되고 있다.
현재 네이버에 결제사이트를 검색하면 유사한 피해사례가 올라와 있으며, 피해자 대부분이 팀뷰어를 사용한 것으로 추측된다.
▲지난 1월 14일 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
지난 1월 14일 또 다른 게시자는 “회사 점심시간에 갑자기 XX은행 웹페이지가 열리면서 공인인증서 창이 열리더니 통장에서 돈이 빠져나가고 있었다”며 “팀뷰어 로그 파일을 살펴보니 처음 보는 사용자 아이디가 결제사이트로 접속해 결제하는 것을 포착했다”고 밝혔다.
▲지난 1월 13일 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
또 다른 커뮤니티 사이트에서는 지난 1월 13일 한 게시자가 유사사건에 대해 피해 사실을 올렸다. 그는 “회사에서 일하고 있하던 도중 갑자기 자신의 아이디로 다른 곳에서 팀뷰어 접속을 하는 장면을 목격했다”며 “결제사이트로 접속해 ISP 파일을 다운받았다”고 밝혔다.
관련 피해사례를 살펴보면, 모두 팀뷰어를 사용하고 동일한 결제창으로 접속했다는 점이다. 일부는 팀뷰어와 다른 웹사이트 가입시 비밀번호가 동일하다고 밝힌 만큼 앞서의 3가지 문제가 공격시도로 이어진 것으로 풀이된다.
한 보안전문가는 “사용자 컴퓨터에 설치된 팀뷰어를 이용한 것으로 보아 팀뷰어도 포트를 열어둘 가능성이 있다”며 “포트 스캐닝을 통해 팀뷰어 사용 포트가 열려 있으면 암호를 입력해 팀뷰어 로그인을 시도할 수 있다”고 설명했다.
이어 그는 “원격제어 프로그램은 유용한 프로그램이지만 백도어로 악용될 수 있다”며 “사용하지 않을 때는 원격제어 기능을 비활성화시켜 두거나 암호를 주기적으로 변경해야 한다”고 말했다.
라온시큐어 이종호 연구원은 “팀뷰어의 경우 계정과 PC가 연동되어 유명 웹사이트 DB를 통해 동일한 아이디와 패스워드를 갖는 계정들을 ‘무작위 대입(Brute Force)’해서 공격하는 경우가 있다”며 “예전에는 게임유저 등을 타깃으로 하던 게 최근에는 팀뷰어를 사용하는 일반 PC 대상으로 바뀐 것 같다”고 분석했다. 이어 이 연구원은 “사용자 입장에서 제일 중요한 건 각 사이트별로 다른 패스워드를 사용해야 한다는 점”이라고 강조했다.
또 다른 보안전문가 역시 “이용자가 단순한 암호를 설정해 브루트포스 공격에 뚫렸을 가능성이 있다”며 “사용자가 비밀번호를 단순하게 설정했거나 과거 해킹당한 웹사이트의 비밀번호와 동일하게 사용했다면 문제가 될 수 있다”고 지적했다. 또한 그는 “상시적으로 팀뷰어를 활성화시키는 건 위험하다”며 “이용자는 팀뷰어를 사용할 때만 켜 놓고 사용할 때마다 확인할 수 있도록 하는 것이 중요하다”고 조언했다.
그레이해쉬 이승진 대표는 “피해자 중 로그 파일을 살펴봤을 때 처음 본 아이디가 나왔다는 걸 봐선 공격자가 팀뷰어 기능을 이용해 제어했을 가능성이 크다”며 “다른 경로로 장악한 PC 상에서 팀뷰어 아이디를 추가로 만들고, 해당 아이디를 통해 공격자가 들어온 것 같다”고 분석했다.
이어 이승진 대표는 “인터넷뱅킹 및 온라인결제 해킹을 방지하기 위해서는 PC 보안을 보다 철저히 해야 한다”며 “우선 출처가 확인되지 않은 프로그램을 다운 받거나 웹하드 등에서 ActiveX 프로그램을 무분별하게 설치하면 안 된다. 또한, 운영체제, 웹 브라우저, 플래시 플러그인 등을 최신 버전으로 업데이트해야 한다. 마지막으로 결제할 때에는 OTP 등 기타 인증수단을 사용해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
무작위 대입 공격, 출처 미확인 프로그램 설치 등으로 인한 악성코드 감염 가능성
팀뷰어 사용할 때만 켜놓고 평상시 활성화 금지, 비밀번호 자주 교체해야
[보안뉴스 김경애] 지난 1월부터 최근까지 원격제어 프로그램인 팀뷰어를 이용한 무단결제 공격시도가 지속적으로 포착되고 있는 것으로 드러났다.
▲지난 10일 한 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
팀뷰어는 원격제어 프로그램으로 전 세계 어디에서든 PC나 서버에 연결할 수 있어 많은 사람들이 사용하고 있다. 이러한 가운데 올해 들어 공격자가 개인정보를 탈취한 후, 원격제어로 무단결제와 인터넷뱅킹 등을 진행해 돈을 무단 인출하는 사건들이 잇따라 발생하고 있다.
지난 10일 커뮤니티 사이트에 올라온 게시글에는 “회사 컴퓨터로 업무 중인데 마우스 포인트가 혼자 마음대로 움직이며, IE를 실행하고, 결제사이트 창이 열렸다”며 “우측 하단에는 팀뷰어 로그인 팝업이 뜨면서 원격 중이라는 메시지가 표시됐다. 이후 바로 PC 리셋키를 눌렀더니 블루스크린이 떴다”고 밝혔다.
▲지난 6일 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
이보다 앞서 지난 6일에도 유사한 사건이 발생했다는 글이 올라왔다. 또 다른 게시글에는 “컴퓨터로 유튜브를 보고 있는 도중 마우스가 혼자 멋대로 인터넷 창에 결제사이트 주소를 입력해 접속한 후 프로그램이 실행됐다”고 언급했다.
해당 글 게시자는 컴퓨터를 24시간내내 켜두고 있고, 업무 때문에 팀뷰어를 실행시켜 놓고 있다며 팀뷰어를 통해 공격시도가 이루어진 것으로 추측했다. 또한, 백신결과 win/adware하고 keygen바이러스가 검출됐다고 덧붙였다.
더욱이 카드결제나 휴대폰 결제가 되면 사용내역을 문자로 받게 되는데, 이를 우회시킬 수 있어 사용자 모르게 피해가 확산될 수 있다는 우려도 제기되고 있다.
현재 네이버에 결제사이트를 검색하면 유사한 피해사례가 올라와 있으며, 피해자 대부분이 팀뷰어를 사용한 것으로 추측된다.
▲지난 1월 14일 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
지난 1월 14일 또 다른 게시자는 “회사 점심시간에 갑자기 XX은행 웹페이지가 열리면서 공인인증서 창이 열리더니 통장에서 돈이 빠져나가고 있었다”며 “팀뷰어 로그 파일을 살펴보니 처음 보는 사용자 아이디가 결제사이트로 접속해 결제하는 것을 포착했다”고 밝혔다.
▲지난 1월 13일 커뮤니티 사이트에 올라온 팀뷰어 피해 사례
또 다른 커뮤니티 사이트에서는 지난 1월 13일 한 게시자가 유사사건에 대해 피해 사실을 올렸다. 그는 “회사에서 일하고 있하던 도중 갑자기 자신의 아이디로 다른 곳에서 팀뷰어 접속을 하는 장면을 목격했다”며 “결제사이트로 접속해 ISP 파일을 다운받았다”고 밝혔다.
관련 피해사례를 살펴보면, 모두 팀뷰어를 사용하고 동일한 결제창으로 접속했다는 점이다. 일부는 팀뷰어와 다른 웹사이트 가입시 비밀번호가 동일하다고 밝힌 만큼 앞서의 3가지 문제가 공격시도로 이어진 것으로 풀이된다.
한 보안전문가는 “사용자 컴퓨터에 설치된 팀뷰어를 이용한 것으로 보아 팀뷰어도 포트를 열어둘 가능성이 있다”며 “포트 스캐닝을 통해 팀뷰어 사용 포트가 열려 있으면 암호를 입력해 팀뷰어 로그인을 시도할 수 있다”고 설명했다.
이어 그는 “원격제어 프로그램은 유용한 프로그램이지만 백도어로 악용될 수 있다”며 “사용하지 않을 때는 원격제어 기능을 비활성화시켜 두거나 암호를 주기적으로 변경해야 한다”고 말했다.
라온시큐어 이종호 연구원은 “팀뷰어의 경우 계정과 PC가 연동되어 유명 웹사이트 DB를 통해 동일한 아이디와 패스워드를 갖는 계정들을 ‘무작위 대입(Brute Force)’해서 공격하는 경우가 있다”며 “예전에는 게임유저 등을 타깃으로 하던 게 최근에는 팀뷰어를 사용하는 일반 PC 대상으로 바뀐 것 같다”고 분석했다. 이어 이 연구원은 “사용자 입장에서 제일 중요한 건 각 사이트별로 다른 패스워드를 사용해야 한다는 점”이라고 강조했다.
또 다른 보안전문가 역시 “이용자가 단순한 암호를 설정해 브루트포스 공격에 뚫렸을 가능성이 있다”며 “사용자가 비밀번호를 단순하게 설정했거나 과거 해킹당한 웹사이트의 비밀번호와 동일하게 사용했다면 문제가 될 수 있다”고 지적했다. 또한 그는 “상시적으로 팀뷰어를 활성화시키는 건 위험하다”며 “이용자는 팀뷰어를 사용할 때만 켜 놓고 사용할 때마다 확인할 수 있도록 하는 것이 중요하다”고 조언했다.
그레이해쉬 이승진 대표는 “피해자 중 로그 파일을 살펴봤을 때 처음 본 아이디가 나왔다는 걸 봐선 공격자가 팀뷰어 기능을 이용해 제어했을 가능성이 크다”며 “다른 경로로 장악한 PC 상에서 팀뷰어 아이디를 추가로 만들고, 해당 아이디를 통해 공격자가 들어온 것 같다”고 분석했다.
이어 이승진 대표는 “인터넷뱅킹 및 온라인결제 해킹을 방지하기 위해서는 PC 보안을 보다 철저히 해야 한다”며 “우선 출처가 확인되지 않은 프로그램을 다운 받거나 웹하드 등에서 ActiveX 프로그램을 무분별하게 설치하면 안 된다. 또한, 운영체제, 웹 브라우저, 플래시 플러그인 등을 최신 버전으로 업데이트해야 한다. 마지막으로 결제할 때에는 OTP 등 기타 인증수단을 사용해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
