최근 국내 은행을 가장한 피싱이 발견된 가운데 안철수연구소(대표 오석주 www.ahnlab.com)는 현재 해당 피싱 사이트는 접속이 차단됐지만 이후 유사한 사례가 이어질 가능성이 있어 사용자의 주의가 필요하다고 21일 경고했다. 이와 관련해 지난 20일 한국정보보호진흥원(KISA)은 국내 은행 웹사이트를 가장한 피싱 주의보(http://www.krcert.or.kr/secureNoticeView.do?num=175&seq=-1)를 낸 바 있다.

기존 피싱이 이메일을 보내 가짜 웹사이트에 접속하게 한 것과 달리 이번에 발견된 피싱은 트로이목마와 결합된 첫 사례라는 점에서 주목할 만하다. 뱅키.101376(Banki.101376)라는 트로이목마가 설치된 PC에서 특정 은행 웹사이트 주소를 입력하면 해당 은행 웹사이트로 위장한 가짜 웹사이트가 열린다. 여기에 주민등록번호, 이름, 통장비밀번호, 인증서비밀번호, 보안카드비밀번호 등 금융 거래를 위한 여러 가지 개인 정보를 입력하도록 유도한다. 정상적인 인터넷 뱅킹 거래는 개인 정보 입력을 단계를 거쳐 입력하게 되어 있는 데 반해 이번에 발견된 피싱 사이트에서는 모든 정보를 한 화면에서 입력하도록 요구한다.


뱅키.101376 트로이목마는 뱅키.61440 트로이목마에 의해 설치된다. 인터넷 주소를 저장하는 파일인 호스트 파일의 기존 정보를 삭제한 후, 다른 정보를 저장함으로써 가짜 웹사이트에 접속하게 한다. 이 외에도 특정 온라인 게임 로그인 계정(ID, 비밀번호)이나 인터넷 뱅킹용 인증서 관련 파일을 가로채 특정 인터넷 주소로 빼내는 기능을 갖고 있다. 현재 이 인터넷 주소는 접속이 차단된 상태이다.


안철수연구소는 19일부터 V3 제품군에 뱅키.101376 트로이목마 진단/삭제 기능을 제공하고 있다. 또한 이미 호스트 파일이 변경된 경우 악의적 정보를 삭제해 가짜 사이트로 접속하지 않도록 해주는 전용 백신(http://info.ahnlab.com/download/vaccine_view.jsp?num=60&pagecnt=1)도 제공하고 있다.


앞으로 이와 유사한 트로이목마가 등장할 경우 피해를 당하지 않도록 사용자는 여러 가지 정보를 한꺼번에 입력하게 만들어진 웹페이지에는 개인 정보를 입력하지 말고 발견 즉시 해당 금융사 또는 안철수연구소를 비롯한 보안 업체, 피싱 신고 접수 사이트(www.krcert.or.kr)에 신고하는 것이 좋다.



[참고 - 공지사항]국내 은행 위장 사이트 주의

내용

□ 개요

o 1월 19일, 국내 은행을 위장한 피싱 사이트들이 발견되어 인터넷뱅킹 사용자들의 주의가 요구됨


□ 설명

o 공격자는 악성코드를 통하여 윈도우즈의 hosts 파일에 아래의 내용을 추가하며, 해당

hosts 파일을 통하여 공격자가 구성해 놓은 피싱사이트로 접속을 유도함

- 61.222.186.60 ibn.kbstar.com

- 140.119.210.85 banking.nonghyup.com

- 140.119.210.85 bank.nonghyup.com


o 해당 피싱사이트를 통해 주민등록번호, 계좌번호, 계좌비밀번호, 인증서 비밀번호, 보안카드 번호

등을 유출함

※ 발견된 피싱사이트는 한 화면에 계좌비밀번호, 인증서 비밀번호, 보안카드 번호 등 여러 가지

금융정보를 입력하도록 요구하고 있어 정상사이트와 구분됨


□ 예방책


o 최신의 윈도우즈 보안 패치 적용


- 해당 취약점에 대한 마이크로소프트사의 취약점 패치(MS06-014) 적용


- 보호나라의 PC 자동 보안업데이트 설치



□ 해결 방법


o 개인 PC의 감염 여부를 확인하기 위해서는 hosts 파일의 내용을 확인하고, 감염시 치료하도록 함

(hosts 파일 확인방법 및 수동치료방법 참고)


o 피싱 사고를 예방하기 위해서는 윈도우즈 보안 패치를 철저히 하고, 최신 바이러스 백신을

사용하여 PC를 주기적으로 점검하고, 피싱 메일이나 의심스런 사이트에 개인정보를 제공하지

않아야 함


※ 백신이 설치되어 있지 않은 사용자는 아래의 전용백신을 다운받아 바이러스 검사를

수행하시기 바랍니다.


- 안철수연구소 제공 전용백신(V3) - 뉴테크웨이브 제공 전용백신(바이러스체이서)

※ 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은

제공되지 않습니다.


※ hosts 파일 확인 방법 및 수동치료 방법


o hosts 파일 확인 방법


① 시작 → 실행 → hosts 파일 위치입력 후 확인 클릭

※ Windows XP일 경우 : C:windowssystem32driversetchosts

※ Windows 2000/NT일 경우 :　C:WINNTsystem32driversetchosts




② 연결프로그램 창이 열리면 메모장(Notepad)를 선택하고 확인클릭




③ 은행 홈페이지 주소가 있는지 확인




o 수동치료 방법


① 부팅시 F8을 눌러 안전모드로 부팅


② 윈도우 폴더에 생성되어 있는 악성파일 “SVCH0ST.exe” 삭제

※ 주의 : SVCH0ST.exe의 “0”는 영문자가 아닌 숫자 zero임

※ 운영체제별 윈도우 폴더 :

- Windows NT/2000 ⇒ C:Winnt

- Windows XP ⇒ C:Windows


③ 악성코드가 생성한 아래 레지스트리 항목 삭제

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsLoad에서

c:\windowsSVCH0ST.EXE


④ hosts 파일에 삽입된 금융관련 사이트 삭제

61.222.186.60 ibn.kbstar.com

140.119.210.85 banking.nonghyup.com

140.119.210.85 bank.nonghyup.com

※ 운영체제별 hosts 파일 위치

- Windows 2000/NT일 경우 :　C:WINNTsystem32driversetchosts

- Windows XP일 경우 : C:windowssystem32driversetchosts