보안 기업 안랩(구 안철수연구소)은 온라인 뱅킹 사용자 정보를 훔쳐내는 악성코드인 '스파이아이(SpyEye)'를 자체 분석한 결과 변형된 버전이 지속 유포되고 있어 주의가 요구된다고 2일 밝혔다.

스파이아이는 사용자 정보를 훔쳐내는 기능이 특징으로, 인터넷 뱅킹 정보를 탈취하는 것으로 악명이 높은 '제우스(ZeuS)'와 더불어 전 세계적으로 많은 피해가 보고된 악성코드다. 2009년 12월께 처음 발견된 이후 지속적으로 변형되고 있으며, 제우스와 스파이아이로 인한 피해액은 전세계적으로 약 1억 달러(약 1100억원)으로 추산되고 있다.

안랩의 패킷 데이터 분석 시스템인 '패킷 센터'에서 스파이아이의 C&C서버(해커가 자신이 구축한 악성코드 네트워크에 명령을 내리는 서버) 정보를 포함한 관련 호스트 정보를 추출한 결과, 특히 북미지역이 48%로 가장 많은 도메인 보유 비중을 차지하고 있는 것으로 나타났다.

미국에 이어 러시아가 7%, 우크라이나가 6%로 뒤를 이었으며, 한국도 4%를 차지하면서 5위를 기록했다. 이러한 분석결과는 스파이아이의 목표물이 미국에 가장 많고, 활동도 이 지역에서 가장 활발하다는 것을 의미한다고 회사 측은 설명했다.

특히 스파이아이는 2010년 개발코드(toolkit)가 유출 된 이후 최근 10348버전까지 다양한 버전이 나타난 것으로 조사됐다.

안랩 패킷센터에 따르면 버전 별로는 10310 버전이 34.6%를 차지해 가장 많이 유포되고 있는 버전으로 나타났으며,10299 버전이 14.7%, 10280 버전이 14.6%를 차지해 그 뒤를 이었다. 이는 스파이아이가 앞으로도 변종이 나타나 활동을 지속할 것으로 해석할 수 있다고 안랩은 설명했다.

안랩은 "자사 보안 플랫폼인 'AOS'는 이 같은 악성코드 공격을 막아낸다"면서 "특히 AOS는 현재 한국 씨티은행, 남미의 배너멕스, 산탄데르와 북미의 코너스톤 은행 등에 도입되고 있으며 이 시장은 더욱 확대될 것으로 보인다"고 설명했다.

한경닷컴 김동훈 기자 dhk@hankyung.com