지난해부터 개인의 금융 자산을 노린 파밍(phaming) 공격이 지속적으로 발생하고 있다. 파밍 공격에는 다양한 기법이 사용되고 있으며 금융 및 관련 기관의 대응에 따라 새로운 형태로 변모하고 있다.

빛스캔은 지난 5월부터 8월말까지 파밍 공격자를 추적한 결과 공인인증서 약 6만여건을 확보해 KISA 인증관련 부서로 전달한바 있다. 대응 결과 만료되거나 중복된 인증서를 제외한 약 1만1533 건의 인증서를 각 개인 및 기업/기관에 통보하여 폐기하고 재발급하도록 조치되었다.

지난 8일에는 국내 포모스 웹사이트에 삽입된 악성 링크를 통해 감염된 사용자가 파밍 사이트를 통해 개인정보를 유출하고 그 정보를 공격자가 별도로 지정한 서버에 저장하는 상황을 추적하여 관련 자료를 확보하였다.

초기 약 4시간에 걸쳐 모니터링한 결과 약 200여명의 개인정보가 유출된 것으로 확인되었으며 유출된 정보는 아이디, 비밀번호, 은행, 계좌번호, 계좌 비밀번호, 보안카드(35자리), 공인인증서 등으로 추정됐다.

이번 사례는 기존에 단편적으로 금융정보를 수집하는 단계에서 주민등록번호 및 개인금융 정보를 총망라하여 추가적인 공격을 수행할 수 있는 단계에 진입했다는 점에서 심각성이 크다.

웹서비스 방문만으로도 감염되는 파밍 악성코드는 작게는 개인 금융 환경의 위험성이 늘어났으며 나아가 한국 인터넷의 위기 상황이 지속된다고 볼 수 있다. PC 이용자에게 보안을 강요하는 단순한 홍보와 계도활동을 넘어 웹을 통한 악성코드 유포에 대해 적극적인 예방과 피해 감소를 위한 적극적인 노력이 필요하다.

한국인터넷진흥원(KISA)에서는 빛스캔로부터 신고받은 파밍 악성코드 및 금융정보에 대해 추가적인 이용자 피해를 방지하기 위해 파밍IP 및 정보유출지를 긴급 차단하여 위험을 줄였다. 또한 파밍 악성코드에 대한 전용백신 개발 및 사이버 응급 치료서비스를 통해 악성코드에 감염된 이용자들에게 감염사실을 알려 추가 2차 피해가 발생하지 않도록 하는 한편 유출된 금융정보에 대해 금융ISAC에 통보하여 조치할 수 있도록 하였다.

현재 빛스캔은 국내 180만개의 웹서비스와 해외 주요 30만개의 웹서비스에 대해 대량 악성코드 유포를 관찰하고 있으며 3년 이상의 누적된 데이터와 탐지 기술력을 바탕으로 악성코드 유포와 통로, 감염된 PC를 조정하는 C&C 정보까지 분석하고 있다. 최근에는 웹서비스를 통한 모바일 악성코드 감염도 관찰하고 있으며 매주 수요일 정보제공 서비스를 통해 한 주간의 한국 인터넷 위협동향을 전달하고 있다.