“국민-기업-하나-우리은행 등 중국발 파밍 해킹 공격받아”

국내 사단법인 홈페이지 경유한 중국발 파밍 공격 드러나

20일 오후 2시 방송사와 금융업체에 동시다발적인 전산망 마비가 초래된 가운데, 이번에 전산망이 마비된 신한은행과 농협 외에 국민은행·기업은행·하나은행·우리은행에 대해서도 해킹 공격이 있었다는 주장이 나왔다.

21일 체코 기반의 다국적 보안업체 어베스트에 따르면 최근 한국소프트웨어저작권협회의 공식 홈페이지를 경유해 국내 주요 6개 은행을 해킹 공격한 사례가 발견됐다. 공격 대상에는 신한은행과 농협 외에 국민은행·기업은행·하나은행·우리은행도 포함됐다.

어베스트는 한국소프트웨어저작권협회 홈페이지의 소스코드 내에 국내 은행을 공격하는 2개의 자바스크립트 코드가 포함됐다고 설명했다. 이들 자바스크립트 코드는 이 홈페이지 방문자를 'rootadmin2012.com'이라는 사이트로 유도하는데, 이 사이트가 이들 은행을 공격했다는 것이다.

이 사이트를 경유한 악성프로그램(멀웨어)은 방문자 컴퓨터의 윈도우 시스템 파일과 인터넷 익스플로러(IE) 웹브라우저를 감염시킨다.

감염된 PC를 이용하면 정상적으로 은행의 인터넷 뱅킹 사이트에 접속하더라도 자신도 모르는 사이에 해킹된 위조 사이트로 강제 이동된다.

정상 사이트와 매우 흡사하게 꾸민 위조 사이트는 고객 이름과 주민등록번호를 빼내기 위한 목적으로 만들어졌으며 일본에 서버를 두고 있는 것으로 분석됐다.

그러나 해킹 공격 자체는 중국에서 이뤄진 것으로 추정됐다. 해킹을 위한 파일 이름이 tongji(통계), tong(연결), pao(실행) 등 중국어로 이뤄졌으며, 최종 공격 위치도 중국이었다는 점 등이 근거다.

어베스트는 "(국내 6개 은행을 대상으로 한) 이번 해킹 공격은 파밍(Pharming)의 일종"이라며 "합법적인 웹사이트를 해킹해 PC를 감염시키기 때문에 사용자가 특별히 주의해야 한다"라고 당부했다.

파밍이란 이용자 PC에 설치된 악성코드 때문에 정상적으로 금융 사이트에 접속해도 가짜 사이트로 접속되는 형태의 보안 공격을 뜻한다. 파밍 사이트에 접속했다간 자칫 주민등록번호 등 개인정보와 보안카드 번호 등 금융정보를 해커에게 제공할 수 있다.

어베스트는 "현재 한국소프트웨어저작권협회 홈페이지에서 문제의 스크립트가 제거된 상태"라고 덧붙였다.

<동아닷컴>