[헤럴드경제= 정태일 기자]강화된 정보 수집 기능으로 인터넷 뱅킹 정보는 물론 사용자 PC의 원천 정보까지 빼낼 수 있는 악성코드가 발견돼 금융권과 당국의 시급한 대처가 요구되고 있다.

안랩은 이전에 나타났던 금융정보 탈취형 악성코드보다 더 강력한 형태인 ‘시타델(Citadel)’이 감지됐다고 24일 밝혔다.

안랩에 따르면 시타델은 ‘시타델 빌더’라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 ‘제우스 빌더’가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드인 셈이다.

시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 따라서 악성코드에 감염된 PC의 네트워크인 봇넷(Botnet)을 구성하기 위한 기능은 물론, 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS(소셜네트워크서비스) 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다.

또 공격자용 서버인 C&C 서버로부터 허위백신 등을 추가로 내려받아 PC 사용자에게 직접 금전을 요구하기도 한다. 허위백신은 허위로 악성코드에 감염됐다는 정보로 공포심을 유발한 후 이를 해결하기 위한 대가로 직접적인 송금을 강요하는 부류의 악성코드를 가리킨다.

특히 정보 탈취의 기능은 제우스에 비해 비약적으로 강화됐다. 제우스의 경우 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한다.

반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함되어 APT(지능형 지속 가능 공격)까지 고려한 정보수집을 시도한다. 예를 들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.

시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다. 이호웅 안랩 시큐리티대응센터장은 “악성코드를 생성하는 빌더와 관리자용 패널을 판매하는 한편, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다”고 설명했다.

killpass@heraldcorp.com