안랩, 금융정보 탈취 악성코드 '시타델' 주의보 발령

[김국배기자] 금융정보를 탈취하는 새로운 악성코드가 발견돼 사용자 주의가 요구된다.

24일 안랩(대표 김홍선)은 강력한 기능의 금융정보 탈취형 악성코드인 시타델(Citadel) 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다. 세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드로는 제우스(Zeus)와 스파이아이(Spyeye)가 있었다.

시타델은 '시타델 빌더'라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 '제우스 빌더'가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 것이다.

안랩의 분석에 따르면 시타델은 악성코드에 감염된 PC의 네트워크인 봇넷(Botnet)을 구성하기 위한 기능을 기본으로 한다. 또 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, 소셜네트워크서비스(SNS) 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다.

또한 공격자용 서버인 C&C 서버로부터 허위백신 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다.

정보 탈취 기능은 제우스보다 강화됐다. 제우스가 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한 데 비해 시타델은 감염 PC가 소속된 네트워크 정보를 포함, 지능형지속가능위협(APT) 공격까지 고려한 정보수집을 시도한다.

시타델 악성코드는 '시타델 스토어'라는 곳에서 판매되고 있다. 악성코드를 생성하는 빌더와 관리자용 패널을 판매할 뿐 아니라 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화, 전문화한 최근 악성코드의 경향을 반영하고 있다.

안랩 시큐리티대응센터 이호웅 센터장은 "금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다"며 "사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하다. 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수적"이라고 말했다.