2017년 1분기 C&C 서버 총 486개...하루 평균 5.4개 생성
[보안뉴스 원병철 기자] 얼마 전 벌어진 씨티카드의 불법 현금 인출 사건이나 쇼핑몰을 통해 금융정보를 노린 파밍 악성코드 유포 등 사용자의 금융정보를 노린 사건이 많이 발생하고 있다. 특히, 전화 금융사기 등 금융사기 범죄는 다른 사이버 범죄보다 수익성이 좋아 많은 범죄자가 악용하고 있다.
그 중에서도 개인 사용자의 PC를 대상으로 하는 파밍 수법은 오래 전부터 범죄에 이용됐지만, 아직도 그 뿌리를 뽑지 못하고 있는 게 현실이다. 전자금융거래 피해 사고를 개인의 책임에서 은행이 책임지도록 표준약관에 명시하게끔 공정거래위원회가 지난 1월 발표한 것처럼 최근에서야 전자금융거래 사이버 범죄에 대한 인식 변화와 피해 예방을 강화하는 자세를 보이고 있다.
위협정보대응 전문 서비스를 제공하는 제로써트(ZeroCERT)에서는 침해당한 이슈 홈페이지, 악성코드 분석 동향 안내에 앞서 파밍이 이용하는 C&C(명령제어) 서버를 역으로 추적, 좀 더 다양한 접근 방식으로 1분기 파밍 C&C 동향을 발표했다.
.jpg)
▲ 금융정보 탈취 파밍 사이버 범죄 구조[제공: 제로써트]
파밍은 인터넷 뱅킹을 이용하는 사용자 PC에 설치된 개인 및 기업 공인인증서와 은행 패스워드 등 금융 정보를 탈취해 현금을 인출하는 목적으로 제작된 악성코드로 사이버 금융 범죄에 이용되고 있다. 악성코드에 감염된 PC는 공인인증서와 금융정보를 탈취해 C&C 서버에 보관한다. 공인인증서와 사용자 PC 정보, 금융정보가 탈취되어 저장되는 곳을 C&C 서버라고 하는데, 이 C&C 서버에 대한 2017년 1분기 동향 분석한 것이다.
.jpg)
▲ 2017년 1분기 파밍 악성코드 C&C 동향[제공: 제로써트]
2017년 1분기 C&C 서버는 총 486개가 확인됐으며, C&C 서버와 연결되는 악성코드와의 관계 구조를 추적한 결과 14개 그룹으로 분할해 활동한 것으로 파악됐다. 여러 그룹으로 분할하여 활동하는 이유 중의 하나는 서버를 분산해 추적 회피 및 좀 더 많은 금융정보를 탈취하기 위한 목적으로 추정되고 있다.
.jpg)
▲ 국가별 C&C 서버 위치[제공: 제로써트]
C&C 서버가 위치한 국가로는 미국(50%), 홍콩(38%), 대만(8%), 중국(4%) 순으로, 미국에 있는 서버를 가장 많이 이용했다. 가장 많이 이용한 IP 대역 TOP 5는 198.15.x.x(미국, 57건), 104.221.x.x(미국, 50건), 103.17.x.x(홍콩, 39건), 103.226.x.x(홍콩, 32건), 115.126.x.x(홍콩, 32건)으로 확인됐다.
.jpg)
▲ C&C 서버 생성 작업 시간대[제공: 제로써트]
사이버 범죄자들이 C&C 서버를 생성하는 작업 시간대를 확인해 보면, 주로 근무 시간대인 8시부터 18시까지 활동이 높게 나타났으며, 야간 연장 근무까지 하는 것으로 조사됐다고 제로써트 측은 밝혔다. 근무시간이 한국 시간대와 유사한 것으로 봐서 한국 또는 한국과 가까운 아시아 지역에 위치한 곳에서 활동 중인 것으로 추정할 수 있다.
최근 얼마나 많은 홈페이지들이 악성코드를 유포하기 위한 경유지나 유포지로 악용되고 있는지, 얼마나 많은 피해자가 발생하고 있는지 C&C 서버 1분기 동향만 봐도 알 수 있다.
윈도우 OS, 인터넷 브라우저, 플래시 플레이어, 자바, 안티백신 등 PC에 설치된 소프트웨어 최신 버전 업데이트만으로도 피싱과 같은 인터넷 사이버 범죄를 어느 정도 예방할 수 있다.
얼마 전 국내 최초의 인터넷 전문은행이 출범하는 등 인터넷을 통한 금융거래 이용률이 점점 더 높아지는 시대에 안전한 금융거래 환경 조성을 위해서는 C&C 서버에 대한 조기 차단 등 관계기관의 끊임없는 노력과 대응이 더욱 요구된다고 할 수 있다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 얼마 전 벌어진 씨티카드의 불법 현금 인출 사건이나 쇼핑몰을 통해 금융정보를 노린 파밍 악성코드 유포 등 사용자의 금융정보를 노린 사건이 많이 발생하고 있다. 특히, 전화 금융사기 등 금융사기 범죄는 다른 사이버 범죄보다 수익성이 좋아 많은 범죄자가 악용하고 있다.
그 중에서도 개인 사용자의 PC를 대상으로 하는 파밍 수법은 오래 전부터 범죄에 이용됐지만, 아직도 그 뿌리를 뽑지 못하고 있는 게 현실이다. 전자금융거래 피해 사고를 개인의 책임에서 은행이 책임지도록 표준약관에 명시하게끔 공정거래위원회가 지난 1월 발표한 것처럼 최근에서야 전자금융거래 사이버 범죄에 대한 인식 변화와 피해 예방을 강화하는 자세를 보이고 있다.
위협정보대응 전문 서비스를 제공하는 제로써트(ZeroCERT)에서는 침해당한 이슈 홈페이지, 악성코드 분석 동향 안내에 앞서 파밍이 이용하는 C&C(명령제어) 서버를 역으로 추적, 좀 더 다양한 접근 방식으로 1분기 파밍 C&C 동향을 발표했다.
▲ 금융정보 탈취 파밍 사이버 범죄 구조[제공: 제로써트]
파밍은 인터넷 뱅킹을 이용하는 사용자 PC에 설치된 개인 및 기업 공인인증서와 은행 패스워드 등 금융 정보를 탈취해 현금을 인출하는 목적으로 제작된 악성코드로 사이버 금융 범죄에 이용되고 있다. 악성코드에 감염된 PC는 공인인증서와 금융정보를 탈취해 C&C 서버에 보관한다. 공인인증서와 사용자 PC 정보, 금융정보가 탈취되어 저장되는 곳을 C&C 서버라고 하는데, 이 C&C 서버에 대한 2017년 1분기 동향 분석한 것이다.
▲ 2017년 1분기 파밍 악성코드 C&C 동향[제공: 제로써트]
2017년 1분기 C&C 서버는 총 486개가 확인됐으며, C&C 서버와 연결되는 악성코드와의 관계 구조를 추적한 결과 14개 그룹으로 분할해 활동한 것으로 파악됐다. 여러 그룹으로 분할하여 활동하는 이유 중의 하나는 서버를 분산해 추적 회피 및 좀 더 많은 금융정보를 탈취하기 위한 목적으로 추정되고 있다.
▲ 국가별 C&C 서버 위치[제공: 제로써트]
C&C 서버가 위치한 국가로는 미국(50%), 홍콩(38%), 대만(8%), 중국(4%) 순으로, 미국에 있는 서버를 가장 많이 이용했다. 가장 많이 이용한 IP 대역 TOP 5는 198.15.x.x(미국, 57건), 104.221.x.x(미국, 50건), 103.17.x.x(홍콩, 39건), 103.226.x.x(홍콩, 32건), 115.126.x.x(홍콩, 32건)으로 확인됐다.
▲ C&C 서버 생성 작업 시간대[제공: 제로써트]
사이버 범죄자들이 C&C 서버를 생성하는 작업 시간대를 확인해 보면, 주로 근무 시간대인 8시부터 18시까지 활동이 높게 나타났으며, 야간 연장 근무까지 하는 것으로 조사됐다고 제로써트 측은 밝혔다. 근무시간이 한국 시간대와 유사한 것으로 봐서 한국 또는 한국과 가까운 아시아 지역에 위치한 곳에서 활동 중인 것으로 추정할 수 있다.
최근 얼마나 많은 홈페이지들이 악성코드를 유포하기 위한 경유지나 유포지로 악용되고 있는지, 얼마나 많은 피해자가 발생하고 있는지 C&C 서버 1분기 동향만 봐도 알 수 있다.
윈도우 OS, 인터넷 브라우저, 플래시 플레이어, 자바, 안티백신 등 PC에 설치된 소프트웨어 최신 버전 업데이트만으로도 피싱과 같은 인터넷 사이버 범죄를 어느 정도 예방할 수 있다.
얼마 전 국내 최초의 인터넷 전문은행이 출범하는 등 인터넷을 통한 금융거래 이용률이 점점 더 높아지는 시대에 안전한 금융거래 환경 조성을 위해서는 C&C 서버에 대한 조기 차단 등 관계기관의 끊임없는 노력과 대응이 더욱 요구된다고 할 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
