36 INTERNET & SECURITY FOCUS July 2014

** 한국인터넷진흥원 코드분석팀 선임연구원(jihwonsong@kisa.or.kr)

** 한국인터넷진흥원 코드분석팀 연구원(hypen@kisa.or.kr)

진화하는 악성코드…피싱·큐싱 결합해 PC·스마트폰 동시 공격

FO

CU

S

3

송지훤*, 류소준**

PC와 스마트폰이 삶에서 중요한 비중을 차지하게 되면서 이에 담긴 정보를 보호하기 위한

정책도 발전해 나가고 있다. 그러나 이와 동시에 악성코드도 날로 정교화 되고 발전해 가고 있

는 것이 현실이다. 이에 본고에서는 진화해 나가고 있는 악성코드의 유포 방식에 대해서

살펴보고, 이를 분석하여 그 악성행위를 상세히 파악한다.

Ⅰ. 서론

Ⅱ. 악성코드 유포 기간 및 규모

Ⅲ. PC 악성코드 분석 결과

1. 악성코드 특징점

2. 악성코드 공통점

3. 해커가 이용한 서버 및 취약점 분석 결과

4. 피싱 사이트에서 QR코드를 통해 악성 앱 유포

Ⅳ. 큐싱(Qshing)을 통해 다운로드 되는 스마트폰 악성 앱 분석 결과

Ⅴ. 악성코드 감염 예방 방법 및 대처

FOC

US

37

Ⅰ. 서론

최근 PC와 스마트폰에서 금융정보를 탈취하기 위한 해커들의 움직임이 다수 포착되고

있다. 실제 한국인터넷진흥원에 신고·접수된 악성 앱 중 10% 이상과 PC 악성코드 중 17%

이상이 보안카드 번호, 주민등록번호 등 금융정보를 탈취하고 있다. 뿐만 아니라 가능한

많은 금융정보를 수집하기 위해 해커는 파밍(Pharming)１과 큐싱(Qshing)２ 수법을 복합

적으로 사용하여 인터넷 뱅킹 정보와 모바일 뱅킹 정보를 동시에 수집하는 것으로 확인되

었다. 또한 원격 제어 및 DDoS 공격이 가능한 Gh0st 3.75 계열 악성코드도 함께 유포하고

있었다.

１ 피싱(Phishig)과농사(Farming)의합성어로PC에가짜은행사이트로유도하는악성코드를설치하고금융정보를빼낸후예

금을인출하는사기범죄

２ QR코드와개인정보,금융정보를낚는다(Fishig)는의미의합성어로QR코드를통해악성링크로의접속을유도하여악성앱

을설치하는사기범죄

[그림 1] 파밍 유도 화면

38 INTERNET & SECURITY FOCUS July 2014

해커는 일반 웹 사이트를 해킹하고 브라우저, 자바 등의 취약점을 통해 악성코드를 유포시

켰다. 해당 악성코드는 감염된 PC에서 공인인증서 및 시스템 정보를 수집하여 해커에게 전

송하고 변조된 hosts파일을 통해 파밍 공격을 수행한다. 이후 해커는 피싱 사이트를 통해 개

인 정보를 입력하도록 유도하고 2차 인증이 필요한 것처럼 속여 QR코드로 사용자의 스마트

폰에 악성 앱을 다운받도록 한다. 이렇게 PC와 스마트폰을 동시에 공격하는 방식은 악성코

드가 2차 채널 인증 확대３ 등과 같은 새로운 금융 보안 정책에 따라 진화하고 있다는 것을 보

여준다고 할 수 있다.

３ ’13년9월26일부터시행된미등록기기에서300만원이상금융거래시본인인증을1채널(PC)외에2채널(스마트폰,유

선전화등)로확대하는방안

[그림 2] 2차 채널을 가장한 큐싱 화면

① 취약한 사이트 접속

⑦ 2차 피해 발생

⑥ 악성 앱설치

⑤ 큐싱을 통한 추가 악성 앱 설치 유도

② 악석코드 감염

③ 공인인증서 및 PC정보 유출

④ 파밍

[그림 3] 악성코드 및 악성 앱 공격 개요도

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 39

Ⅱ. 악성코드 유포 기간 및 규모

’13년 9월부터 최소 7개월 간 해당 악성코드를 제작한 해커는 여행사, 수련관, 웹하드 업체

등 60개가 넘는 국내 홈페이지를 통해 악성코드를 유포하였다. 악성코드를 유포한 사이트와

시기는 다음과 같다.

<표 1> 악성코드 유포 일자와 유포지

연 도 유포 일자 악성코드 유포지

2013년

9.11 http://xxx.xx.xxx.xxx/xxxx/mk/index.html

9.17 http://xxxxx.xxxx.xx.kr/xxxxxxx/ms/test/index.html

9.21 http://xxxxxx.xx.kr/bbs/pop.exe

9.23 http://xxxxxxx.xx.kr/xxxxxx/goods/pop/xx.js

9.24 http://xxxxxxxxx.com/shop/data/pop/index.html

9.25 http://www.xxx.com/data/test/lndex.html

9.30 http://xxxxxxx.xx.kr/xxxxxxx.exe

10.22 http://xxx.xxx.xx.kr/session/s/index.html

11.11 http://xxxxxxx.com/xxxx/w/index.html

11.14 http://www.xxxxx.com/xxxx/mk/index.html

11.25 http://xxxxxx.com/xxx/index.htm

11.26 http://xxxxx.com/xxxx/index.html

12.04 http://www.xxxxxxxx.com/xxx/index.html

12.05 http://xxx.xx.kr/bbs/skin/add/index.html

12.13 http://xxxxxxxx.com/xxx/index.html

12.20 http://xxx.xx.xxx.xxx:xxx/index.html

12.21 http://xx.xxxx.xxxx.net/xxxxxxxx/mm/index.html

12.24 http://xxxxxxxx.kr/pop/index.html

12.30 http://xxxxxx.xx.kr/pop/index.html

2014년

1.2 http://xx.xxx.xxx.xx:xxx/index.html

1.8 http://xxxxxxxx.com/pop/index.html

1.9 http://xxxxxxxxxxx.com/pop/index.html

1.10 http://xxxxxxx.net/pop/index.html

1.11 http://xxxxxxx.xx.kr/pop/index.html

1.13 http://xxxxxxxxx.com/pop/index.html

40 INTERNET & SECURITY FOCUS July 2014

연 도 유포 일자 악성코드 유포지

2014년

1.17 http://xxxxxxxxxxx.com/pop/index.html

1.18 http://xxxxxxxxxxxxx.com/pop/index.html

1.19 http://xxxxxx.xx.kr/pop/index.html

1.20 http://xxxxxxxxxxx.net/pop/index.html

1.23 http://xxxxxx.com/pop/index.html

1.23 http://xxx.xx.kr/pop/index.html

1.25 http://xxxxxxxcom/pop/index.html

1.25 http://www.xxxxxxxx.com/banner/upfiles/pop/index.html

1.30 http://xxxxxxx.xx/news/index.html

2.7 http://xxxxxxxxxx.com/pop/index.html

2.13 http://www.xxxxx.co.kr/uploads/info/click.exe

2.13 http://xxxxxxxxx.com/pop/index.html

2.14 http://xxxxxxxxx.com/xxxxxx/files/album/xxxxxxxx.html

2.19 http://xxxxxxxx.com/pop/index.html

2.19 http://xxxxx.co.kr/pop/index.html

2.21 http://xxxxxxxxxxx.com/pop/index.html

2.21 http://xxxxxxxxx.com/xxxxxxxcss/index.html

2.22 http://xxxxxxxxx.kr/pop/index.html

2.23 http://xxxxxxxxxx.com/pop/index.html

2.26 http://xxxxxx.xxxx.net/index.html

2.28 http://xxxxxxxxxxxxx.xx.kr/pop/index.html

3.3 http://www.xxxxxxxx.xx.kr/lang/xxxxxxxxx/xxxxxxxxx.html

3.5 http://xxxxxxx.xxxx.net/smss.exe

3.6 http://www.xxxxxxxxx.com/resources/file/xx/index.html

3.13 http://xxxxxxxx.xxxxxxx.com/hot/index.html

3.15 http://www.xxxxxxxx.com/resources/file/image/index.html

3.19 http://xxx.xx.xxx.xxx:xxx/index.html

3.22 http://www.xxxxxxxxxx.xx.kr/xxx/log/index.html

3.22 http://xxxxxxxxxxxxx.org/xxxxxxxxxx/xxxxxxx/xxhtml

3.22 http://www.xxxxxxxx.xx.kr/css/index.html

3.23 http://xxx.xxx.xxx.xxx/css/index.html

3.23 http://xxxxxx.com/board/xxxxxx/ga.html

3.24 http://xxx.xxx.xx.xxx/index.html

3.24 http://xxx.xx.xxx.xx/xxxxxxxx.html

3.25 http://xx.xx.xxx.xxx/index.html

3.26 http://xxxxxxxxxxxx.kr/pop/index.html

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 41

Ⅲ. PC 악성코드 분석 결과

1. 악성코드 특징점

여러 유포지에서 다운로드되는 악성코드는 본래 3단계에 걸쳐 악성코드를 생성한다. 대부

분 mydat.dll(혹은mydll.dll)이 CHIinwywamzi.exe를, CHIinwywamzi.exe가 svchsot.

exe를, svchsot.exe가 kb0ce.exe를 순차적으로 다운받아 실행하는 것으로 나타났다. 악성

코드마다 각기 다른 악성 행위를 하며 개인정보, 컴퓨터 정보 등을 유출시킨다. 또한 이 악

성코드들은 모두 독자적으로 유포되기도 한다. 전체 구조와 악성코드별 행위들은 아래 표와

같다.

<표 2> 악성코드별 행위

악성코드 악성행위

smss.exe •악성코드(dll)드랍

mydat.dll

•백신탐지

•hosts파일변조,공인인증서유출

•악성코드추가다운

CHIinwywamzi.exe •자기자신을svchsot.exe로복제하여생성

svchsot.exe

•키로깅

•화면정보유출

•악성코드추가다운

•원격제어,DDoS공격

kb0ce.exe •hosts파일변조

※악성코드파일명은사고마다변경되나주요행위및모듈은동일

60개 이상 사이트에서 발견된 악성코드를 분석한 결과, 대부분 아래와 같은 공통점이 발

견되었으며 동일 조직이 금융 정보 수집을 위해 아이피와 기능만 약간 수정하여 끊임없이 악

성코드를 유포하고 있는 것으로 추정된다.

smss.exe mydat.dll CHIinwywamzi.exe kb0ce.exesvchsot.exe

[그림 4] 악성코드 생성 및 실행 순서

42 INTERNET & SECURITY FOCUS July 2014

2. 악성코드 공통점

1) hosts 파일 변조

금융정보를 수집하는 악성코드 이름은 대부분 mydat.dll, mydll.dll이었으며 링크파일

(.lnk)을 통해 실행되었다. 실행된 뒤에는 호스트 파일을 변조하여 가짜 금융 사이트로 접속

을 유도하는데 해당 악성코드는 공격에 사용되는 아이피를 두 가지 방식을 통해서 얻어온다.

첫 번째 방식은 주로 서버에서 plus.php라는 파일의 내용을 읽어 아이피를 가져오는 방식

으로, 소스 코드 상에는 인코딩되어 있지만 악성코드 내부의 디코딩 루틴을 거친 후에는 공격

아이피와 도메인의 내용이 나타나게 된다.

두 번째 방식은 중국 블로그에서 아이피를 파싱해오는 방식이다. 주로 user.qzone.

qq.com이라는 중국 블로그에서 ‘#’을 기준으로 아이피를 검색한 후 금융 사이트 접속 시 해

당 아이피로 연결되도록 호스트 파일을 변조한다.

[그림 5] 서버 내 아이피가 저장된 plus.php [그림 6] 디코딩 된 plus.php 내용

[그림 7] plus.php 디코딩 모듈

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 43

초기에는 첫 번째 방식과 두 번째 방식이 번갈아 사용되었으나 최근에는 두 방식을 함께

사용하는 악성코드가 발견되고 있다. 그 이유는 추가 악성코드 유포지가 차단되었을 때를 고

려하여 두 가지 방식을 함께 사용하는 것으로 보인다. 두 번째 방식은 실제 국제 협력 채널을

사용해야하기 때문에 중국 블로그에 조치 요청하기까지 많은 시간이 소요되고 있다.

[그림 8] 중국 블로그 내 아이피 [그림 9] ‘#’을 기준으로 아이피 검색

[그림 10] 악성코드가 생성한 호스트(host.ics) 파일

44 INTERNET & SECURITY FOCUS July 2014

2) 공인인증서 수집

악성코드는 대부분 공인인증서가 저장되어 있는 NPKI 폴더를 압축하여 해커의 정보유출

지로 유출하였다.

3) 7-zip에서 사용되는 커맨드 형식의 압축 방식 사용

40개 이상 사이트에서 유포된 악성코드는 공통적으로 공인인증서가 저장된 NPKI폴더를

7-zip 압축프로그램 콘솔버전(7za.exe)으로 압축하였다.

[그림 11] 공인인증서가 저장된 NPKI 폴더 검색 모듈

[그림 12] 7-zip 압축 프로그램으로 공인인증서가 저장된 NPKI 폴더를 압축하는 모듈

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 45

명령어를 확인한 결과, 악성코드는 대부분 압축 파일 형식을 .7z으로 압축 비밀번호는 123

으로 사용하였다. 악성코드가 압축 시 사용하는 7-zip 옵션별 의미는 아래 표와 같다.

※악성코드사용한7-zip명령(예):C:\7az.exea-t7z-p123-aoa-mhe[공인인증서]

<표 3> 악성코드가 사용하는 옵션별 의미

옵션 의미

a 파일추가

-t 파일타입

-p 압축비밀번호

-aoa 덮어쓰기

-mhe 파일의헤더까지암호화

[그림 13] 압축 된 NPKI 폴더

[그림 14] 압축을 푼 뒤의 파일

46 INTERNET & SECURITY FOCUS July 2014

4) 사용자를 인식 및 관리하기 위해 사용자 계정 유출

악성코드는 CPU 종류, 운영체제 정보, RAM 크기 등을 유출하는데 해당 정보는 감염된

사용자를 인식하고 관리하기 위함으로 추정된다. 수집한 데이터는 아래 모듈을 통해 인코딩

하는 것으로 확인되었다.

5) 現 프로세스 실행 목록에서 백신 확인

악성코드는 현재 실행중인 프로세스들의 목록을 가져온다. 그리고 미리 정의해 둔 백신 프

로세스명이나 서비스명을 그 목록에서 검색한다. 만약 검색 결과가 존재 할 경우 악성행위를

시도하지 않거나 실시간 감시가 실행중이 아닌 백신을 종료 시킨다.

[그림 16] 인코딩 하는 연산과정

[그림 17] 백신이 존재할 때 악성행위를 시도하지 않는 코드 일부

[그림 15] 인코딩 하는 연산 코드 일부

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 47

<표 4> 악성코드가 확인하는 백신

악성코드가 검색하는 백신 프로세스 백신 이름

V3LSvc.exe V3Lite

AYRTSrv.aye 알약

avp.exe 카스퍼스키

Rstray.exe RisingAntivirus

KSafeTray.exe KingsoftSystemDefender

6) 분석 방해를 위해 Base64４ 디코딩 방식 사용

해커는 악성코드가 문자열로 인해 쉽게 분석되는 것을 피하기 위해 정보 유출지 서버, 레

지스트리 경로, 백신 명, 함수 명 등의 주요 문자열을 전부 Base64로 인코딩하였다. 이러한

문자열은 사용되기 직전에 Base64 디코딩 함수를 거친 후 사용되었다.

４ 8비트이진데이터를문자코드에영향을받지않는공통ASCII영역의문자들로만이루어진일련의문자열로바꾸는인코

딩방식

[그림 18] 백신을 종료하는 코드 일부

[그림 19] 인코딩된 문자열

48 INTERNET & SECURITY FOCUS July 2014

7) Gh0st Rat 3.75 악성코드 추가 다운로드

해커는 다양한 용도로 감염PC를 활용하기 위해 Gh0st 3.75계열 원격 제어 및 DDoS 공격

악성코드를 유포하고 있는 것으로 나타났다. 원격 제어 기능으로는 키보드 및 마우스 제어,

화면 제어, 파일 다운로드 등이 있으며 DDoS 기능으로는 GET, SYN, UDP, ICMP

Flooding 등이 있다. 테스트 결과, 실제 악성코드가 Gh0st Rat 3.75 관리 프로그램에 접속

되어 제어 가능하였다.

[그림 20] 악성코드 내 GET Flooding 모듈

[그림 21] Gh0st Rat 3.75 프로그램에 접속한 악성코드

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 49

3. 해커가 이용한 서버 및 취약점 분석 결과

’13년 9월부터 해커가 이용한 서버를 분석한 결과, 악성코드는 피싱 아이피를 전달받기 위

해 대부분 plus.php에서 정보를 수집하였다. 국가별로는 피싱 아이피 정보 수집 및 정보 유

출을 위해 미국에 존재하는 서버를 애용하였다. 또한 호스트 파일에 기재되는 피싱 아이피는

주로 일본 서버를 애용하였으나 해당 서버가 해킹되어 이용되었을 가능성도 존재한다.

<표 5> 해커가 이용한 서버

순번 서버 국가 순번 서버 국가

1 xxx.xx.xxx.xxx 태국 28 xx.xxx.xxx.xx:xxx/plus.php 미국

2 xxx.xx.xxx.xxx 태국 29 xx.xxx.xxx.xx:xx/plus.php 미국

3 xxx.xx.xxx.xxx 태국 30 xx.xxx.xxx.xx:xxx/plus.php 미국

4 xxx.xx.xxx.xxx 태국 31 xx.xxxxxxxx.com -

5 xxx.xx.xxx.xxx:xxxx - 32 xx.xxxxxxxxxx.com 홍콩

6 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 33 xxx.xxxxxx.com -

7 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 34 xxxxx.com/plus.php 일본

8 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 35 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그

9 xxx.xxx.xxx.xxx 미국 36 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그

10 xx.xxx.xx.xxx 일본 37 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그

11 xx.xxx.xx.xxx 일본 38 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그

12 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 39 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그

13 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 40 user.qzone.qq.com/xxxxxxxxxxxx 중국블로그

14 xx.xxx.xxx.xxx 미국 41 xx.xxxxx.com -

15 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 42 xx.xxxxx.com/shit.php -

16 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 43 xx.xxxxx.com 미국

17 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 44 xx.xxxxx.com -

18 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 45 xx.xxxxxx.com -

19 xxx.xxx.xxx.xx/plus.php 미국 46 xx.xxxxxx.com:xxxx/plus.php -

20 xxx.xxx.xxx.xxx:xxxx/plus.php 미국 47 www.xxxxx.com:xxxx/plus.php -

21 xx.xxx.xxx.xxx 일본 48 xxx.xxx.xx.xx 일본

22 xxx.xxx.xx.xx 일본 49 xxx.xxx.xxx.xx 일본

23 xxx.xx.xxx.xx 일본 50 xxx.xx.xx.xx 홍콩

24 xx.xxx.xx.xxx 일본 51 xxx.xxx.xx.xxx -

25 xxx.xxx.xxx.xx 미국 52 xx.xxxxx.com -

26 xxx.xxx.xxx.xx 미국 53 user.qzone.qq.com/xxxxxxxxx 중국블로그

27 xxx.xxx.xxx.xx 미국 54 xxx.xxx.xxx.xx 미국

50 INTERNET & SECURITY FOCUS July 2014

해커는 약 12가지 취약점 등을 이용하여 악성코드를 유포하는 것으로 확인되었다. 또한 악

성코드 감염률을 높이기 위해 대중적으로 사용되는 브라우저, 자바 취약점 등을 이용하였다.

<표 6> 해커에게 악용 된 취약점

순번 CVE 번호 설명

1 CVE-2011-3544 OracleJavaSERhinoScriptEngine입력값검증오류취약점

2 CVE-2012-0507 OracleJavaSandbox우회원격코드실행취약점

3 CVE-2012-0634 AppleiTunes,Safari에서사용되는Webkit메모리손상취약점

4 CVE-2012-1723 OracleJavaSE원격코드실행취약점

5 CVE-2012-1889MicrosoftXMLCoreServices의초기화되지않은메모리개체접근으로인한원격코드

실행취약점

6 CVE-2012-3544 ApacheTomcat서비스거부취약점

7 CVE-2012-4681 OracleJavaSandbox우회원격코드실행취약점

8 CVE-2012-5076 OracleJavaSecurityManager우회원격코드실행취약점

9 CVE-2013-0422 OracleJavaRuntimeEnvironment원격코드실행취약점

10 CVE-2013-0634 AdobeFlashPlayer메모리손상취약점

11 CVE-2013-2465 OralceJavaSE메모리손상취약점

12 CVE-2013-3897 InternetExplorer메모리손상취약점

4. 피싱 사이트에서 QR코드를 통해 악성 앱 유포

악성코드에 감염되면 호스트 파일 변조 방식으로 금융사이트뿐만 아니라 사용자가 다수인

사이트(유명 포털 사이트 등)도 피싱 사이트로 연결한다. 사용자가 웹 검색 등을 위해 유명

포털사이트 등에 접속하면 해커가 구성한 가짜 페이지가 보여주고 이 때 보안관련 인증절차

를 요구한다. 인증을 위해 해커의 은행 피싱 사이트에 로그인하면 아이디 및 패스워드가 암

호화되지 않은 채 정보유출지로 전송된다.

이 후 악성코드는 2채널 본인 인증을 위해 큐싱 기법으로 악성 앱 설치를 유도한다. 해

커는 QR코드를 인식하는 앱이 설치되지 않은 상황을 대비해 QR Droid의 추가 설치를 권

유하였다. QR코드를 사진처럼 찍으면 악성 앱 다운로드용 URL로 연결되어 설치가 시작

되었다.

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 51

[그림 22] 로그인 유도 페이지

[그림 23] 평문 그대로 값 전달

[그림 24] 2차채널 보안인증을 위해 악성 앱 설치 유도 [그림 25] QR Droid 설치 권유

52 INTERNET & SECURITY FOCUS July 2014

Ⅳ. 큐싱(Qshing)을 통해 다운로드 되는 스마트폰 악성 앱 분석 결과

해커는 악성코드와 악성 앱을 함께 배포하여 복합적으로 사용자를 공격하였다. 해커는 악

성 앱 유포 경로로 QR 코드를 선택하였는데 이는 제작자 추적이 어렵고 앱 다운로드를 위해

연결되는 URL의 악성 여부 확인이 어렵기 때문으로 보인다. QR코드를 통해 설치된 악성 앱

은 스마트폰 기기에 능숙하지 못한 사용자가 앱 삭제를 쉽게 못하도록 기기 관리자로 자기

자신을 등록한다. 악성 앱을 실행하면 서버 점검중이라는 허위 메시지를 보여주어 사용자를

속인다.

이 후 악성 앱은 사용자 스마트폰 정보, 전화번호부, SMS 메시지를 유출하고, 서버에 1분

간격으로 접속하여 명령을 기다린다. 악성 앱은 서버에서 전송한 명령에 따라 문자 수신 방

해, 착신 전환 서비스 설정 시도 등을 수행한다.

하지만 해당 악성 앱은 사용하는 착신 전환 설정 방식이 우리나라 이동통신 사업자의 방식

과는 다르기 때문에 외국(중국, 유럽 등)에서 제작된 앱으로 추정된다. 외국의 경우는 착신전

환 코드가 ‘**21*연결희망번호#’으로 설정이 가능하지만 우리나라는 우선 이동통신사의 홈

페이지나 오프라인 대리점 등에서 착신전환 유료 부가서비스를 가입해야 하고, 설정 코드도

[그림 26] 악성 앱 다운로드 후 설치와 실행 화면

①악성앱설치유도 ②관리자권한으로등록 ③서버점검중이라는허위메시지

FOC

US

FOCUS 3 진화하는악성코드…피싱·큐싱결합해PC·스마트폰동시공격 53

‘*71연결희망번호’로 다르다. 따라서 해당 앱을 통해 실제로 착신 전환이 설정 되지는 않지만

이 부분이 우리나라 이동통신 환경에 맞게 개발 된다면 은행의 자금 이체 시 추가 보안 방법

인 SMS, ARS 인증을 우회하여 금융사기에 악용 될 수도 있을 것으로 보인다.

[그림 27] SMS 메시지 유출 코드 일부

[그림 29] 착신전환 설정/해지 코드 일부

[그림 28] 서버에 명령을 요청하고 수신한 명령을 수행하는 코드 일부

54 INTERNET & SECURITY FOCUS July 2014

<표 7> 착신전환 부가서비스 가입 방법 (2014.04.11)

SKT KT LG UPlus

홈페이지,114고객센터,고객센터앱 오프라인매장 홈페이지,고객센터앱

Ⅴ. 악성코드 감염 예방 방법 및 대처

한국인터넷진흥원은 매일 취약한 사이트에서 악성코드 유포 현황을 모니터링하고 있으며

악성코드 분석을 통해 악성코드 유포지, 정보수집 서버 등을 조치·차단하고 있다. 뿐만 아

니라 파급력이 높은 악성코드는 백신사에 샘플을 공유하고 백신 개발을 요청하여 이용자 피

해 최소화를 위해 노력하고 있다. 또한 최근에는 금융사별 악성코드 대응을 위해 추가 보안

인증 방법 등을 도입하고 있다. 그러나 해커는 끊임없이 취약한 사이트를 찾아 악성코드를 유

포하고 있으며 변경된 인터넷 뱅킹 절차에 따라 진화된 악성코드를 유포하고 있다. 따라서

취약한 사이트에 접속하더라도 악성코드에 감염되지 않도록 사용자는 PC와 스마트폰의 백신

을 최신 버전으로 업데이트하고 주기적으로 검사해야 한다. 또한 평소 정품 소프트웨어를 사

용하고 의심스러운 사이트 방문과 P2P 등 악성코드 유포지로 악용될 수 있는 서비스 이용을

자제해야 한다. 공인인증서는 가급적 외부 저장소에 저장하는 것이 좋으며 스마트폰에 알 수

없는 출처의 앱을 다운 받을 때는 주의해야 한다. 악성코드에 감염이 의심되면 일단 백신으

로 검사한 후 118센터 등에 신고하는 것이 필요하다.

참고문헌

금융감독원 (2013). “전자금융사기 예방서비스”

한국인터넷진흥원 (2013). “공인인증서 유출 유형의 악성코드 분석”

한국인터넷진흥원 (2012). “스마트폰 이용자 10대 안전수칙”