"청첩장에도 악성코드, 금융정보 빼갔다"... 카스퍼스키 '숨니봇' 확인 작성일 04-18 129 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="UsqvJAwMtN"> <figure class="figure_frm origin_fig" contents-hash="80fe9322d518e26e6dcf51246dd8f40de4d65c267552ce3857566e6d83131578" dmcf-pid="uvfXNmhLXa" dmcf-ptype="figure"> <p class="link_figure"><img alt="/사진제공=카스퍼스키" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202504/18/moneytoday/20250418095558084widm.jpg" data-org-width="1200" dmcf-mid="pZ5DfeLKXj" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202504/18/moneytoday/20250418095558084widm.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> /사진제공=카스퍼스키 </figcaption> </figure> <p contents-hash="f41c1c1b1aec5840f20ad8fd9b81fc92eb1102ce7066b6cc89237d3fa78333d4" dmcf-pid="7T4ZjsloXg" dmcf-ptype="general"><br>결혼식 디지털 청첩장에 금융정보 탈취용 악성코드가 포함돼 유포되고 있다는 사실이 보안 기업의 조사로 드러났다.</p> <p contents-hash="ec6856528e05542825c1e1486e8fb258f3654c3da6877ee8a27838a4ef91d146" dmcf-pid="zy85AOSgGo" dmcf-ptype="general">카스퍼스키는 지난해 이 회사가 처음 발견한 뱅킹 트로이목마 '숨니봇'(SoumniBot)을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다며 18일 이같이 밝혔다. 카스퍼스키는 지난해 8월부터 진행된 숨니봇 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다.</p> <p contents-hash="26b26a390310bcee27d37816170fa1e96dbb57e7e03aae68c5ad966e69ba30d9" dmcf-pid="qW61cIva1L" dmcf-ptype="general">공격자는 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장 링크를 보낸다. 잠재적 피해자가 이 링크를 클릭하면 숨니봇 멀웨어가 다운로드된다. 숨니봇은 주로 한국 온라인뱅킹 이용자를 대상으로 하는데 일단 설치되면 은밀하게 작동되며, 쉽게 탐지되지 않도록 앱 아이콘 숨기는 등 특징을 보인다.</p> <p contents-hash="dd910ad087858ef20ba25dfb9b14da33008a8dfb58dce5ee699938d8964d852d" dmcf-pid="BYPtkCTNHn" dmcf-ptype="general">숨니봇은 또 연락처나 SMS(단문메시지), 사진 및 동영상 뿐 아니라 한국의 은행들이 사용하는 디지털 인증서까지도 탈취한다. 피해자 기기에서 임의로 SMS를 발송하거나 매 15초마다 수집된 데이터를 공격자 서버로 전송하는 기능까지 갖췄다.</p> <p contents-hash="728bd03ce11cca18087681694fa5260ffdbc2fdd464e5819051ff54d1f215887" dmcf-pid="bGQFEhyjti" dmcf-ptype="general">이 악성코드는 압축 방법 조작, 매니페스트 크기 변조, 분석 도구를 압도하는 매우 긴 이름 공간 문자열(long namespace strings) 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다.</p> <p contents-hash="d9bc06589f1d9b6b9e8c240a9c13fc68c9b9a2cc54ae8094a28e300c3fb28f20" dmcf-pid="KHx3DlWAHJ" dmcf-ptype="general">카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌(Dmitry Kalinin)은 "이 공격자들은 청첩장을 악용해 특히 사회공학 기법을 매우 효과적으로 활용하고 있다"며 "멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용해 잠재적인 보안 조치를 우회하는 완벽한 예시"라고 설명했다.</p> <p contents-hash="94eee48dcb07378705332c1b158c35301650a39423da9e4c153c5d4d0326218b" dmcf-pid="9XM0wSYcZd" dmcf-ptype="general">이효은 카스퍼스키 한국지사장은 "숨니봇은 따뜻하고 신뢰할 수 있는 행사를 악용해 악성 링크를 청첩장으로 위장하고 매우 은밀한 방법으로 한국 온라인 뱅킹 사용자를 노리고 있다"며 "사용자가 실수로 이 함정에 걸리면 숨니봇은 뒷단에서 조용히 개인 데이터 및 은행 디지털 인증서와 같은 중요한 정보를 훔치고, 심지어 승인 없이 문자 메시지를 전송해 사용자에게 막대한 피해를 입힐 수 있다"고 했다.</p> <p contents-hash="98971da6c3620d2c372a83762747f0c2cebaa1bb29bee57b528e86a18d12c1e2" dmcf-pid="2ZRprvGkHe" dmcf-ptype="general">카스퍼스키는 숨니봇 등 위협에 대응하기 위해 △구글플레이 등 공식 앱 스토어에서만 애플리케이션을 다운로드하고 △예상치 못한 청첩장 등 앱 다운로드를 요청하는 메시지에 주의하며 △앱에 접근성 서비스 등 고위험 권한을 부여하는 것을 신중히 검토할 것을 당부했다. 많은 보안 문제가 앱 업데이트로 해결될 수 있으니 운영체제와 중요한 앱을 최신 상태로 유지하는 것도 필요하다.</p> <p contents-hash="e02229b418fe02fef874d9e5a058df52f61de1e9bb492fab2029f8762ce29232" dmcf-pid="V5eUmTHE5R" dmcf-ptype="general">황국상 기자 gshwang@mt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지</p> 관련자료 이전 AI가 코딩 대체?…신입 개발자 일자리가 사라진다 04-18 다음 손연재 "♥남편·子과 첫 해외여행…내 몸 부서져도 행복" 04-18 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
