주간 피싱 사이트 약 4만개...15만명 공격

시스템파일 위장해 PC내 정보 훔치는 바이러스 활개

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 8월 18일~24일 4만개에 가까운 피싱 사이트들이 발견됐다. 중국 누리꾼 가운데 무려 연인원 15만명이 피싱 사이트들로부터 공격을 받은 것으로 드러났다.

또한 지난 주 시스템 파일로 위장해 백그라운드에서 해커가 지정한 웹주소와 연결해 악성 파일을 내려 받고 시스템의 보안 취약점을 악용해 컴퓨터 안의 민감한 정보들을 훔쳐 내어 해커에게 보내는 바이러스가 활개를 쳤다.

中 주간 컴퓨터 바이러스 ‘TOP 10’

중국 정보보안 회사인 루이싱은 27일 내놓은 ‘주간 바이러스와 보안 추세’ 보고에서 자사 ‘클라우드 보안’ 시스템이 8월 18일~24일 찾아낸 컴퓨터 바이러스 가운데 차단비율을 기준으로 상위 10개 바이러스를 뽑아 발표했다.

먼저 ‘Hack.Exploit.Script.JS.Bucode’는 한 주 전과 마찬가지로 1위를 이어가면서 8주째 정보보안업체의 차단 횟수가 가장 많은 바이러스에 꼽혔다. 2위의 ‘Trojan.Win32.Generic’와 3위의 ‘Hack.Exploit.Win32.MS08-067’도 한 주 전과 순위 변동이 없었다.

바이러스 ‘Trojan.Win32.FakeUsp’는 4위로 처음 Top10 안에 들었다. ‘Worm.Win32.MS08-067’과 ‘Trojan.Win32.FakeLPK’는 각각 한 계단 내린 5위, 6위를 기록했다. 바이러스 ‘Trojan.Win32.ACAD’는 한 단계 오른 7위를 차지했고, ‘Trojan.Win32.KUKU’는 8위로 Top10 안에 포함됐다.

9위의 ‘Trojan.Win32.SysVenFak’는 한 주 전보다 두 계단 하락했고‘Trojan.Script.Lisp.ACAD’는 한 주 전 6위에서 10위로 내려갔다.

이어 이 바이러스는 백그라운드에서 해커가 지정한 웹주소에 연결해 악성 파일을 컴퓨터에 내려 받는다. 이 악성 파일은 시스템의 보안 취약점을 악용해 컴퓨터 안에 들어 있는 민감한 정보들을 훔쳐서 해커가 지정해 놓은 서버로 보내는 것으로 드러났다.

컴퓨터가 이 ‘Generic’ 바이러스에 감염되면, 사용자는 개인의 중요 정보들이 외부로 유출되고 여러 인터넷 사이트의 계정과 비밀번호도 도난을 당하는 위험에 처하게 된다.

또한 지난 주말(8월 23~24일) 중국에서 유행한 트로이목마 바이러스로는 ‘Backdoor.Win32.PcClient.ypn’이 지목됐다. 루이싱은 ‘클라우드 보안’ 시스템을 통해 지난 주말 누리꾼으로부터 연 2만3,922회에 걸쳐 ‘Backdoor.Win32.PcClient.ypn’에 대한 신고를 받았다고 밝혔다. 

이 백도어 바이러스는 컴퓨터에서 활동 개시에 나서, 시스템 디렉토리 안에 ‘dll’을 생성한다고 루이싱은 설명했다. 해커는 이 ‘dll’을 통해 해당 컴퓨터를 완전히 통제하고 감염시키며, 파일 검사를 비롯해 업로드, 차단, 카메라 실행 같은 행위를 벌이는 것으로 드러났다.

中 주간 피싱 사이트 TOP 5

루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 8월 18일~24일 3만9,514개의 피싱 사이트를 찾아냈다고 밝혔다. 지난 주에 견주어 1,700개 가량 늘었다. 또 이들 피싱 사이트로부터 공격을 받은 중국 누리꾼 수는 지난 주 연인원 15만명이었다고 루이싱은 밝혔다. 이는 한 주 전과 같은 규모이며, 피싱 사이트에 의한 피해자 수가 많은 수준을 이어갔다.

이 회사가 ‘클라우드 보안’ 시스템을 써서 21일 현재 차단한 횟수를 바탕으로 해 뽑은 피싱 사이트 Top5에서 ‘**jxw0739xw0739w07390739739399.**cpp.net’가 1위를 차지했다. 피싱 사이트 ‘**loadoadadd.**pornornrnn.cf.gs’는 지난 주와 마찬가지로 2위에 올랐다. 이어  △www.**gudeudedee.com/platform/ShowMyInfo.asp  △www.**gudeudedee.com/ShowPloy.asp   △www.**gudeudedee.com/platform/ShowIP.asp 순으로 3~5위를 기록했다.

이와 함께 지난주엔 유명 노래 오디션 TV 프로그램인 ‘보이스 오브 차이나’를 사칭한 사이트 ‘www.nczjhsy.com’, 온라인게임 거래를 사칭한 ‘http://anqanq88.com/wuBa8qjc.aspx’, 중국 최대 온라인 금액 결제 사이트인 ‘즈푸바오(Alipay)’를 사칭한 ‘www.baitang.net’ 등도 누리꾼들에게 피해를 입혔다.

이 가운데 인기 노래 오디션 TV 프로그램인 ‘보이스 오브 차이나’를 사칭한 사이트 ‘www.edscx.cc’와 중국의 한국판 ‘아빠 어디가’ TV 프로그램을 사칭한 ‘http://bbnk.cc’의 경우, 가짜 당첨 정보로 사용자를 꾀어 금전을 이체하게 해서 불법 이익을 챙기는 것으로 밝혀졌다.

중국공상은행을 사칭한 피싱 사이트 ‘www.icbcghshe.com’와 온라인 결제 사이트 ‘즈푸바오’를 사칭한 ‘http://zhongxindingdan.colorful-love.com/a1.asp’는 모두 사용자의 카드 번호와 비밀번호 정보를 훔치는 것으로 드러났다.

가짜 의약류 피싱 사이트인 ‘www.mymikorea.com’는 허위 의약 정보로 컴퓨터 사용자들의 금전을 노린다. 루이싱은 “이런 피싱 사이트들은 컴퓨터 사용자의 인터넷뱅킹 계정과 비밀번호, 개인 정보를 훔친다”며 “이들 웹 주소에는 바이러스가 들어 있으므로, 누리꾼들은 클릭해서는 안 된다”고 강조했다.

아울러 루이싱의 ‘클라우드 보안’ 시스템의 통계 결과, 지난 8월 22일부터 24일까지 누리꾼 연인원 7만1,693만명이 웹페이지내 삽입 트로이목마의 공격을 받았다. 이 기간 루이싱은 2만8,617개의 트로이목마 삽입 웹주소를 탐지했다. 또 22일~24일 사이 연인원 5만2,869명의 누리꾼이 피싱 사이트의 공격을 받았으며, 루이싱은 1만5,137개의 피싱 웹주소를 탐지했다. 

이 밖에 루이싱의 ‘클라우드 보안’ 시스템이 지난 27일 하루 차단 횟수를 바탕으로 뽑은 악성코드 삽입 사이트 ‘Top5’는 △http://hj688.**222.org(차단 횟수 약 9,300회) △http://jump.**666.org(약 4,860회) △http://cnhbwz.**222.org(1,900회)  △http://wbm2000.**222.org(1,200회) △http://tubeschina.**222.org(800회) 순이이었다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>