보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Special Report 4] 전 세계 인터넷 뱅킹의 공포, ZeuS

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2010-10-19

최근 사용자의 온라인 뱅킹 계정 정보를 탈취하는 제우스(ZeuS)가 맹위를 떨치고 있다. 하루 평균 300개 이상의 샘플이 발견되는 것으로 알려진 제우스)와 그에 의해 생성되는 제우스 봇(ZeuS Bot, 또는 ZBot)의 전 세계적인 피해 사례를 살펴본다. 아울러 제우스의 주요 기능과 감염 경로를 추적하고 대응책에 대해서도 알아본다.


제우스(ZeuS)는 2007년 러시에서 처음 개발된 것으로 추정되는 대표적인 봇넷(BotNet) 생성 킷(Kit)으로, 제우스 킷에 의해 생성된 봇을 ZeuS Bot, 또는 ZBot이라고 부른다. 특히 2009년 하반기부터 북미 지역 등에서 금융 거래 증명서를 훔치거나 자동결제시스템, 급여 시스템의 비인증 온라인 거래를 하는 등의 범죄의 주범으로 제우스 봇이 대두되면서 전 세계적으로 가장 유명한 범죄 소프트웨어가 되었다.


다양한 브라우저가 타깃, 모바일 환경까지 위협


제우스는 인터넷 익스플로러(Internet Explorer)뿐만 아니라 파이어폭스(Firefox)도 대상으로 하고 있다. 이를 통해 피해자의 PC를 원격으로 제어하여 자금 송금을 지시하거나 계좌 정보를 절취하고 HTML 인젝션(Injection) 공격과 트랜잭션 위•변조 공격에도 이용하고 있다. 또한 최근에는 모바일 환경으로까지 그 범죄 영역을 넓혀가는 상황이다. 특히 다양한 보안 솔루션이 적용된 국내 인터넷 뱅킹 환경과는 달리, SSL기반의 인터넷 표준을 사용하는 해외 인터넷 뱅킹의 보안 기능으로는 제우스 방어가 불가능하기 때문에 해외 피해사례는 앞으로도 꾸준히 증가할 것으로 예상된다.
제우스 킷의 현재 최신 버전은 1.3.4.x 버전이며, 언더그라운드에서 약 $3,000 ~ 4,000에 거래가 되는 것으로 알려져 있다. 또한 추가 비용을 지불하면 다양한 확장 기능을 보유한 모듈을 추가로 제공한다. 
제우스 제작자는 제우스 킷을 개발•판매하여 수익을 얻고, 제우스 킷의 구매자는 이를 이용해 제우스 봇을 생성•배포하여 감염된 좀비 PC를 제어할 수 있는 봇넷(Bot Net)을 구성한다. 이렇게 구성된 봇넷을 통해 다양한 개인정보 등을 수집하여 판매하거나 봇넷 자체를 판매함으로써 사이버 범죄의 생태계를 형성하게 된다.


제우스 봇의 전파 경로


■ 스팸 메일을 통한 전파
제우스 봇의 전파 경로는 일반적인 악성코드의 전파 경로와 유사하며, 그 중 가장 많은 부분을 차지하는 것이 스팸 메일이다. 스팸 메일을 통해 사용자를 피싱 사이트로 유도하거나 스팸 메일에 첨부된 파일을 통해 전파를 시도한다.
 

[그림 1] 신종플루(H1N1) 백신에 대한 내용을 포함하는 제우스 봇 스팸 메일 (출처: 인터넷진흥원)


■ 소셜 네트워크를 통한 전파
최근 들어 SNS가 급속히 발전하면서 제우스의 전파 경로도 트위터나 페이스북과 같은 소셜 네트워크(Social Network) 환경으로 옮겨가고 있는 추세다. 트위터나 페이스북에 중요한 정보 사이트로 위장한 피싱 사이트의 링크를 올려 사용자의 방문을 유도한다.


■ 악성 스크립트를 통한 전파
상대적으로 보안이 취약한 사이트를 해킹하여 악성 스크립트를 삽입하는 경우다. 악성 스크립트나 PDF 취약점 등을 이용해 사용자가 수동으로 파일을 다운로드 받지 않더라도 자동으로 PC에 악성코드가 다운로드 되어 실행하도록 한다. 악의적인 PDF 파일을 iframe으로 삽입하거나 악성 스크립트를 삽입하게 되면 사용자가 해당 사이트를 방문 했을 때 특정 URL로 접근하여 사용자가 모르는 사이에 제우스 봇이 다운로드 되어 실행된다.


제우스의 주요 피해 사례


2007년 미(美) 교통국의 정보 탈취에 이용되기도 했던 제우스는 미국과 유럽 등지에서 수많은 유포 사례 및 금융 피해 사례가 존재하며, 조직적인 금융 해커들이 체포되는 등 큰 피해 규모나 조직적인 범죄로 유명하다.
2009년 6월, BOA, NASA, Monster, ABC, Oracle, Cisco, Amazon, BusinessWeek 등 웹사이트의 약 7만개 FTP 계정을 이용하여 유포되기도 했으며, 같은 해 10월에는 페이스북에 150만개의 피싱 메시지를 전송해 유포하기도 했다.
2010년 2월, 미국의 한 프로모션 회사는 제우스 감염으로 인한 온라인 뱅킹 사기로 16만 4천 달러(약 1억 9천만 원)의 피해를 입고 파산 위기에 놓이기도 했다. 또한 영국의 한 은행에서는 7월 하순 경 제우스에 감염된 수십만 개의 PC 등에서 약 3,000개의 고객계좌를 무단 전송해 약 90만 달러에 달하는 고객 예금이 빠져나간 것이 발견되기도 했다. 동유럽에 있는 서버에서 이를 조종한 것으로 조사되었다.
9월 30일에는 제우스를 이용해 미국의 중소기업이나 지방자치단체 은행 계정에 접근하여 수백만 달러를 훔친 국제 금융 해커 60여명이 기소되기도 했다. 또한 10월에는 미국에서 우리 돈으로 약 2,450억 원에 달하는 천문학적인 금액을 훔치려 한 여성 해커가 경찰에 붙잡혔다. 영국 타블로이드 신문 ‘더 선’의 ‘세상에서 가장 섹시한 해커(World’s sexiest hacker)’라는 제목의 기사를 통해 체포 사실이 알려진 이 여성 해커는 유럽 네티즌들에게 무작위로 이메일을 보낸 뒤 클릭한 이용자의 PC에 제우스를 침투시켜 금융계좌 비밀번호를 획득했고, 위조 여권을 이용한 가짜 계좌에 돈을 넣어두었다고 밝혔다. 경찰은 이 여성 해커의 단독 범죄가 아닌, 범죄 집단의 돈세탁을 위한 운반책으로 고용됐다고 밝혀, 제우스를 이용한 금융 사기가 범죄 집단을 통해 조직적으로 행해진다는 것을 확인할 수 있었다.
 

[그림 2] 영국 타블로이드 신문 ‘더 선’에 보도된 여성 해커


제우스의 구성 및 주요 기능


■ 제우스 빌더(ZeuS Builder)
제우스 빌더는 제우스 봇을 생성하는 툴이다. 제우스 빌더에서 생성되는 제우스 봇은 매번 다른 형태의 바이너리를 가지는 새로운 악성코드가 된다. 제우스 빌더에서 생성되는 제우스 봇 파일과 기능은 [표 1]과 같다.

 

파일명

주요 기능

sdra64.exe

제우스 봇의 실행 파일

local.ds

외부로 유출할 탈취된 정보를 저장하는 파일

user.ds

계정정보 탈취 대상 웹 사이트 목록의 설정 파일

[표 1]  제우스 빌더에서 생성되는 제우스 봇 파일

 

[그림 3] 제우스 빌더


■ 제우스 어드민(ZeuS Admin)
제우스 어드민은 제우스 C&C(Command and Control) 서버의 관리 페이지이다. 웹으로 지원하며, 제우스 봇에 감염된 좀비 PC를 관리하고 수집된 정보들을 포함한 봇넷의 상황을 한눈에 모니터링 할 수 있다. 또한 계정 별로 권한 관리가 가능하다.
 

[그림 4] 제우스 어드민


제우스 봇의 기능
제우스 빌더로 생성된 ZBot, 즉 제우스 봇은 다음과 같은 역할을 수행한다. 


■ 시스템 정보 수집 기능
제우스에 감염된 좀비 PC로부터 PC의 시스템 정보를 수집한다. 제우스 봇이 수집하여 C&C 서버로 전송하는 정보는 다음과 같다.


-  ZeuS Bot 정보(봇넷 이름, Bot ID, Bot Version 등)
-  운영체제 버전 및 언어
-  지역 및 시간
-  IP 주소
-  실행중인 프로세스 이름


■ 거래정보 / 개인정보 수집 기능
제우스 봇에 감염된 좀비 PC를 통해 사용자가 user.ds 파일에 저장된 URL에 접속할 경우, 사용자의 모든 입력 값들을 저장하여 C&C 서버로 전달하는 기능이다. 제우스 봇의 핵심 기능으로, 이 기능으로 때문에 해외 인터넷 뱅킹에서 제우스로 인한 피해가 이슈가 되고 있다. 제우스 봇에서 입력 값들을 가로채는 기능은 크게 2가지다.


① 주요 API 후킹
웹 브라우저를 통해 서버로 전달되는 입력정보를 가로챈다. 특히 표준 SSL을 채택하고 있는 해외 인터넷 뱅킹 환경에서는 윈도우에서 제공하는 HttpSendRequest와 같은 HTTP 관련 함수를 후킹할 경우에는 입력 정보가 암호화되기 전에 노출될 수 밖에 없다. 


②  화면 캡쳐
가상 키보드를 사용할 경우에 입력 정보를 가로채기 위한 기능이다. 마우스 왼쪽 버튼 클릭 시 마우스 포인터를 기준으로 일부 크기의 영역을 화면 캡쳐함으로써 가상 키보드의 입력 값을 가로챌 수 있다. 


■ 웹 인젝션(Web Injection) 기능
대부분의 온라인 뱅킹 등 웹사이트들은 키로깅(keylogging) 공격이나 네트워크-스니핑(network-sniffing) 공격을 회피하기 위해 보안성을 강화하고 있다. 그러다 보니 이제 사용자의 정보를 탈취하는 공격은 HTML 인젝션 기술을 이용하여 이를 우회하고 있다.
HTML 인젝션 공격은 실제 정보가 네트워크로 전송되기 전에 사용자가 보게 되는 웹 화면을 변조하는 것으로, 일반적인 키보드 보안이나 네트워크 보안 등의 기법으로는 대응하기 어렵다. 제우스는 이러한 HTML 인젝션 공격을 쉽게 할 수 있으며, 구성파일에 몇 줄을 추가하여 간단히 공격할 수 있다.
예를 들어 아래와 같이 원래 ‘성명’과 ‘전화번호’만 입력하는 웹 페이지를 제우스를 통해 변조하여 그 사이에 ‘주민번호’를 입력하도록 변경할 수 있다. 변조된 사실을 모르는 사용자가 ‘주민번호’를 입력하게 되면 이 정보는 C&C 서버로 전송된다.
 

[그림 5] 제우스의 HTML 인젝션 공격 코드 예시

 

[그림 6] 제우스에 의해 변조된 웹 페이지 예시


■ 부가 기능
지금까지 언급된 기능 외에 C&C 서버를 통해 추가적으로 다음과 같은 여러 가지 명령을 수행하도록 할 수 있다.
- 컴퓨터 리부팅 및 셧다운 명령
- 시스템 파일 삭제 명령
- 특정 URL 접속에 대한 차단/허용
- 특정 파일의 다운로드 및 실행
- PC 내의 특정 파일 실행 (UI를 안보이게 실행 가능)
- PC 내의 파일/폴더 검색 및 전송
- 디지털 인증서 탈취
- 보호된 저장 영역과 쿠키를 통한 정보 탈취
- 제우스의 Configuration file 업데이트
- 제우스 봇 실행파일의 파일명 변경
- 인터넷 익스플로러의 시작페이지 변경 등


제우스 확장 모듈의 주요 기능
제우스에서 추가로 제공하는 확장 모듈은 별도로 구매를 해야 하며, 각 모듈별 주요 기능은 [표 2]와 같다.


모듈

주요 기능

추가 금액( $ )

Back connect

좀비 PC를 직접 접속하여 인터넷뱅킹 거래를 수행할 수 있는 기능을 제공함

1,500

Firefox form grabber

파이어폭스(Firefox) 브라우저의 FORM 필드에서 주요 정보를 수집하는 기능을 제공함

2,000

Jabber(IM) chat notifier

사용자가 인터넷뱅킹 사이트에 로그인할 때 실시간으로 정보를 가로채서 알려주는 기능을 제공함

500

VNC Private module

VNC 프로토콜을 이용해 좀비 PC를 제어하는 기능을 지원함

10,000

Windows 7/Vista Support

제우스의 기본 버전은 XP만으로 제한되지만 이 모듈을 추가할 경우 Windows 7/Vista를 지원함

2,000

[표 2] 제우스 확장 모듈별 주요 기능


글로벌 유명 보안업체들, 대응책 없어 고심 중


제우스는 해커의 의도대로 가공 및 변형, 생산이 간편한 패키지로 구성되어 있으며, 온라인을 통해 비교적 쉽게 구할 수 있다. 심지어 제우스 패키지의 빌더에서 버튼 하나를 클릭할 때마다 변형된 제우스 봇이 생성되기도 한다. 이러한 이유로 제우스 봇은 매우 유행하고 있으며, 기하 급수적으로 늘어나는 변종에 글로벌 유명 안티바이러스 업체들도 마땅한 대응책은 없는 상황이다.
글로벌 안티바이러스 업체들은 꾸준히 수집되고 있는 제우스 봇의 변종들을 분석하여 엔진업데이트를 하고 있다. 또한 이들의 C&C 서버를 추적하여 해당 서버로의 접속을 차단하는 등 발 빠르게 움직이고 있으나 한 외국의 사이트의 통계에 따르면 40.2% 정도만 검출해 내는 실정이다(http://zeustracker.abuse.ch 참고). 따라서 제우스 봇 대응은 이러한 안티바이러스 업체들의 검출과 삭제/치료에 의한 대응 보다는 금융 거래 전문 보안 업체들을 중심으로 사용자 정보의 거래 트랜잭션을 보호하여 제우스의 행위로부터 입력/전송되는 정보들을 보호하는 방안으로 검토되고 있다.


안랩 온라인 시큐리티(AhnLab Online Security), 전방위 온라인 금융거래 보안 지원
안철수연구소는 제우스에 대해 안티바이러스 제품인 V3를 통해 신속하게 대응하고 있지만, 수집되지 않은 제우스의 샘플이나 새로운 변종에 대응하기 위해 트랜잭션 보안 전문 솔루션인 AhnLab Online Security(이하 AOS)의 기술을 이용하고 있다.
AOS는 전용 보안 브라우저인 AOS 시큐어 브라우저(Secure Browser)와 키보드 보안을 위한 AOS 안티-키로거(Anti-keylogger), 해킹툴 차단 및 네트워크 침입차단을 위한 AOS 파이어월(Firewall) 등 다양한 보안 기능이 통합된 전방위 온라인 금융 거래 보안 솔루션이다. 이를 통해 AOS는 제우스의 해킹 행위 자체를 차단하거나 사용자의 입력 정보를 보호하여 제우스로 인한 사용자의 정보 침해를 원천적으로 막아준다.
AOS는 먼저 AOS 파이어월을 통해 이미 진단이 가능한 제우스 봇의 실행을 차단한다. 또한 AOS 시큐어 브라우저와 AOS 안티-키로거를 통해 웹 페이지의 로그인 정보 탈취 방어, HTML 인젝션 및 스크린 캡쳐(Screen Capture)를 방어한다.


한편, 제우스의 피해를 최소화하기 위해 다음과 같은 사전 예방이 요구된다.


- 스팸 메일 주의
현재까지 발견된 Zeus Bot은 영어로 작성된 스팸 메일을 기반으로 배포되고 있기 때문에 출처가 불분명한 영어 메일의 링크를 클릭하여 방문하거나 첨부파일을 실행해서는 안 된다.

- 보안 업데이트
MS 및 Adobe의 보안 업데이트를 항상 최신 버전으로 적용해야 한다. 또한 백신 프로그램의 엔진을 최신 업데이트로 유지해야 하며 실시간 감시 기능을 활성화해야 한다.

- 보안 제품 적용
안랩 사이트가드(AhnLab SiteGuard)를 설치하면 웹을 통한 악성코드 유입을 사전에 차단할 수 있다.


이 외에도 온라인을 통한 개인정보 입력 시 이용자들의 신중한 태도가 필요하며, 평소 철저한 비밀번호 관리 등을 통해 제우스로 인한 피해를 사전에 방지하거나 최소하기 위한 노력이 중요하다.@

  • 안철수연구소 로고
  • 안철수연구소 보안기술팀 팀장 이호웅

보안정보의 저작권은 저자 및 ㈜AhnLab에 있으므로 무단 도용 및 배포를 금합니다.

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.