비트코인 거래소 및 전자금융사업자를 노린 악성코드

비트코인 거래소 및 전자금융사업자를 노린 악성코드

안녕하세요, IT정보보안 일을 하고 있는 @StolenByte 입니다.

최근 보안업계 중에서 악성코드 관련 이슈가 하나 있습니다.

비트코인 거래소 및 전자금융사업자를 노린 악성코드가 최근에 발발했고, 현재 금융당국에서는 꽤나 신경을 쓰고 있는 모습입니다.

왜냐하면, 해당 악성코드는..

과거 오래 전부터 한국의 금융시장을 괴롭히던 악성코드의 변종

이러한 악성코드가 현재 비트코인을 거래하시는 분들에게도 손을 뻗었습니다.

코인을 거래하시는 분도 많은 사이버 공격단체의 대상이 되었단 것

코인은 보호 해줄 기구/기관이 없기 때문에 본인 스스로 보안을 해야된다는 것은 익히 알고 계실 겁니다.

그렇기 때문에, 이러한 이슈에는 예민하게 반응을 해주시는 것이 좋습니다.

여기서 상당히 중요한 이슈는 비트코인 거래소는 금융위와 기획재정부(거래소가 외환도 취급하기 때문에) 간의 애매한 관계로 존재하고 있기 때문에 누구의 케어를 받기 어려운 상태라고 볼 수 있습니다.

2017년 5월 23일에 발생 된 일 입니다.

문제 입니다. 여기서 어디가 문제 일까요?

확실히 모르겟지만, 무언가 문제가 많아 보이죠? 하나씩 집어보겠습니다.

1. 국세청은 저렇게 일처리 안하죠..;;
2. 발신자 메일주소가 "daum.net" 되어있었다는 수신자의 전언이 있었습니다.
3. 보통 기관에서 문서는 기본적으로 분류를 합니다. 그렇기 때문에 "[종류] 파일내용.확장자" 같은 형식을 갖추고 있습니다.
4. 메일 내용의 핵심은 "빨리 파일을 열어서 작성해라", 사람의 궁금증을 자극시켜 악성코드가 심겨져 있는 hwp 파일을 실행하도록 하는 것입니다.

이렇듯, 메일 내용을 잘 살펴보면 헛점이 너무 많으나, 국세청이란 단어로 사람의 심리를 자극합니다.

이러한 사람의 심리를 활용한 공격이..

소셜 엔지니어링 해킹 이라고 하며 흔히 알고 있는 케빈 미트닉(전설의 해커라고 칭해지는?)이 주로 사용하는 방법 입니다.

첨부 된 hwp파일의 분석한 결과는 다음과 같습니다.

과거 사용되었던 취약점을 이용하여 악성코드(WinPro.exe)를 내린 후 레지스트리에 등록 후 실행을 유도합니다

이런 악성코드의 공격에 어떻게 대응하면 좋을까요?

• exe파일, hwp파일 등 모르는 사람이 보내는 파일은 절대 열어보지 않습니다.
  • 이것만 해도 저런 악성코드에 걸릴 일은 전혀 없을 겁니다.
• 링크는 함부로 접속하지 않습니다.
  • IE/크롬 Exploit을 활용한 공격은 정말 드물기 하지만, Exploit Kit이란 전문 공격도구를 사용하면 가능성이 충분히 있습니다.
  • 그렇기 때문에 절대로 링크는 무작정 접속하는 일은 없도록 하세요.
• 전체적으로 자신 없으신 분들은 국산백신을 설치하세요.
  • "국산 백신은 랭킹이 낮은데 왜 써야 해요?" 하지만 국내 사정은 국내회사가 제일 잘 알고 있습니다.
  • 백신 성능 테스트는 테스트 하는 기관이 가지고 있는 샘플로 테스트 하는 것이기 때문에 국내 사정과 많이 틀리다고 볼 수 있습니다.
• 거래소 이용관리를 자주해주세요.
  • OTP 사용 및 패스워드 주기적으로 변경
  • 언론에서도 말 많이 하지만, 현실적으로 하기 힘드시죠? 그렇지만 습관화 하시는 것이 스스로에게 좋습니다.

이상 IT정보보안 일은 하는 @StolenByte 였습니다.