유클린 뉴스

1회인터넷에도 사람이 살아요
목록

중국발 해킹, 금융권도 당했다

28일 전북상호저축은행 해킹돼...트로이목마 숙주서버로 악용

성연광 기자  |  2005.12.28 14:25
28일 전북상호저축은행 해킹돼...트로이목마 숙주서버로 악용
국내 유수 웹사이트를 해킹해 온라인게임이용자정보 탈취용 트로이목마를 유포하는 중국발 해킹이 끊임없이 이어지는 가운데, 이번에는 국내 금융권 사이트가 트로이 목마의 숙주서버로 악용 당하는 사고가 발생해 충격을 주고 있다.

28일 전북 제2금융권인 전북상호저축은행(www.i-jbbank.co.kr) 웹서버가 해킹을 당해 국내 온라인 게임 이용자의 아이디와 비밀번호를 빼가는 트로이목마가 이곳에 올려져있는 것이 확인됐다. 이는 트로이목마 숙주서버로 철저히 이용된 것으로, 현재 은행측이 긴급 복구에 들어간 상태다.

금융권 사이트가 중국발 해킹 피해를 당한 사실이 밝혀지기는 이번이 처음이다.

중국발 해킹은 주로 보안이 취약한 사이트를 해킹해 트로이목마를 은닉해놓은 숙주서버를 만든 뒤 네티즌 방문자수가 많은 다수의 웹사이트를 해킹해 유포 사이트로 활용하는데, 트로이목마가 숨겨진 숙주서버에 링크를 걸어 방문자들이 유포 사이트에 접속하면 숙주서버에 올려진 트로이목마가 자동 전파되게 하는 수법이다.

더욱이 이번에 숙주서버로 악용된 전북상호저축은행 웹서버의 경우, MS 익스플로러 보안 취약점을 유포경로로 이용한 트로이목마와 액티브 X 컨트롤(보안경고창)을 이용한 트로이목마가 동시에 올려져 있어 심각성을 더해주고 있다.

이번에 전북상호저축은행의 웹서버에서 발견된 악성 파일은 'win.htm'과 'msn.htm' 등 2가지로, 'win.htm'파일은 플래쉬 파일로 위장한 액티브X 컨트롤(보안 경고창) 방식으로 전파되는 트로이목마 파일이며, 'msn.htm'은 그동안 중국발 해킹 피해 사이트에서 주로 발견된 MS 익스플로러 취약점과 자바 스크립트를 이용해 전파되는 트로이목마다.

이들 모두 국내 특정 온라인 게임 이용자 정보를 빼내는 트로이목마로 확인됐다.

보안업체인 지오트 관계자는 "이처럼 보안경고창을 이용한 유포방식과 보안 취약점을 이용한 유포방식의 트로이목마를 동시에 설치한 것은 이용자 PC의 보안 패치 여부와는 상관없이 광범위하게 트로이목마를 유포하기 위한 수법으로 보인다"고 분석했다.

한편, 전북상호저축은행측 관계자는 "이번에 해킹 피해를 당한 서버는 단순히 은행과 예금상품 홍보하는 사이트로, 고객 정보유출 피해는 없었을 것"이라고 해명했다.

◇28일 해킹된 전북상호저축은행 웹사이트에서 발견된 트로이목마 중 일부. MS 오피스 파일로 위장돼 보안경고창을 통해 유포되는 방식이다.
image