• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 국경절 연휴기간 14만명 이상 트로이목마 공격 받아 2014.10.14

루이싱, 트로이목마 삽입 웹페이지 6만8,000여개 탐지

피싱사이트 2만7,484개 탐지...연 12만6,300명 피해


[보안뉴스 온기홍=중국 베이징] 중국 정보보안회사 루이싱이 최근 내놓은 주간 보안보고에 따르면, 중국에서 지난 국경절 ‘황금연휴’ 기간(9월 30일~10월 7일) 누리꾼 14만 5,324명이 웹페이지에 삽입된 트로이목마의 공격을 받은 것으로 드러났다.

루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 트로이목마가 들어 있는 웹페이지 6만 8,073개를 탐지했다고 밝혔다. 중국에서 국경절 연휴 기간 가장 널리 퍼진 트로이목마 바이러스는 ‘Trojan.Win32.Generic.172CBC9F’였다. 루이싱의 ‘클라우드 보안’ 시스템이 이 트로이목마에 대해 누리꾼들로부터 접수한 신고 건수는 연 2만 5,002회에 달했다.

이 바이러스는 정상적인 소프트웨어와 패키징을 통해 전파를 진행하는데 컴퓨터 사용자가 정상적이지 않은 경로에서 파일을 내려 받으면 이런 유형의 바이러스로부터 쉽게 습격을 받을 수 있다.

이 바이러스는 ‘c:\docume~1\admini~1\locals~1\temp\851578.ini’ 파일을 투입시키고 시스템 ‘regini.exe’을 써서 등록을 진행하며, 인터넷 브라우저 홈페이지를 ‘2345’ 웹주소로 바꾼다.

이어 백그라운드에서 해커가 지정한 웹주소로 연결해 다른 소프트웨어들을 컴퓨터에 내려 받아 설치한다. 컴퓨터가 이 바이러스에 감염되면, 네트워크 자원과 시스템 자원이 대량 점용당하고 시스템 운행도 과도하게 느려지게 된다고 루이싱 쪽은 설명했다.

中 국경절 연휴기간 피싱사이트 발생 상황
이번 중국 국경절 연휴기간 연 12만 6,298만 명의 누리꾼이 피싱사이트로부터 공격을 당했다. 루이싱 쪽은 2만 7,484개의 피싱 웹주소를 찾아냈다고 밝혔다.

루이싱은 국경절 연휴 기간 중국에서 활개를 친 피싱 사이트 상위 5개를 꼽아 공개했다. 피싱 사이트 ‘Top5’는 △TV 오락 프로그램 ‘아빠 어디가’류 http://173.208.32.91/ (가짜 당첨 정보로 사용자를 속여 송금 유도) △중국 유명 인터넷회사 텅쉰을 사칭한 피싱 사이트 http://qb.400qb.org(사용자의 은행 계정과 비밀번호 정보 편취) △가짜 의약류 www.xxwme.com(허위 의약 정보로 사용자의 금전을 편취) △가짜 온라인 쇼핑류 www.xaqiaoshisui.com(허위 온라인 쇼핑 정보로 사용자의 금전을 편취) △가짜 중국공상은행류 http://mail.market-advantage.net/CRM/gateways/ACUP/screen2a.php(사용자의 은행 카드 계정과 비밀번호 정보 편취) 순이었다. 이들 웹 주소에는 바이러스나 트로이목마가 들어 있으므로 누리꾼은 클릭해서는 안 된다고 루이싱은 강조했다.

中 10월 첫째 주 바이러스·피싱 사이트 발생 상황

루이싱은 10월 첫째 주(9월 29일~10월 5일)에 피싱 사이트 2만7,294개를 탐지했다고 밝혔다. 이들 피싱 사이트로부터 12만명의 누리꾼이 공격을 받은 것으로 나타났다.

특히 이 기간 중국 최대 온라인 검색 사이트 ‘바이두(Baidu)’의 ‘백과(baike)’ 코너의 당첨 정보를 사칭한 피싱사이트들이 크게 활개를 쳤다. 이 피싱사이트는 ‘바이두 백과’의 웹페이지 화면을 모방하며, 바이두 백과의 공신력을 이용해 누리꾼들이 경계심을 누그러뜨린 채 당첨 정보를 믿게 한다.

이 기간 주목을 받은 피싱사이트는 △가짜 ‘텅쉰’류 http://2014520.duapp.com △가짜 온라인 쇼핑류 www.qiaoshisui0.com △가짜 ‘바이두 백과’ 당첨류 피싱 사이트 http://mdewm.muygqri.com 등이다.

지난 9월 29일 하루 동안 크게 번진 피싱 사이트들은 △중국 최대 온라인 쇼핑몰 타오바오(taobao)를 사칭한 www.chfcctv.com(허위 당첨 정보로 사용자를 속여 송금 유도) △가짜 ‘텅쉰’류 http://avdy.org(사용자 은행 계정과 비밀번호 정보 편취) △TV 노래 오디션 프로그램 ‘보이스 오브 차이나’를 사칭한 www.zhnzhnguoguo.com(허위 당첨 정보로 사용자를 속여 송금 유도) △가짜 중국공상은행류 http://118.193.147.119/ △가짜 온라인 쇼핑류 http://qiaoshisuiguanfang.com 등이었다.

10월 첫째 주 중국에서 주목을 받은 바이러스는 ‘Trojan.Win32.Generic.16E9B581’ 였다. 이 바이러스는 파일 폴더 아이콘으로 위장해 누리꾼을 클릭하도록 유도한다. 이어 컴퓨터의 시스템 자원을 대량 소모시키고 네트워크 대역을 점용하며, 컴퓨터 운행 속도와 인터넷 속도를 크게 떨어뜨린다.

이 바이러스는 또 백그라운드에서 해커가 지정해 놓은 웹주소에 연결해 다른 바이러스를 컴퓨터에 내려 받는다. 나아가 컴퓨터 사용자의 인터넷 뱅킹 계정과 비밀번호를 훔치고, 사용자의 각종 인터넷 사이트 계정과 비밀번호 정보를 수집한다. 컴퓨터가 ‘Trojan.Win32.Generic.16E9B581’ 바이러스에 감염되면 시스템이 망가지고 사용자의 민감한 정보들이 유출되며 인터넷 뱅킹 금전도 도난 당할 위험에 놓이게 된다고 루이싱은 지적됐다.

이밖에 지난 29일 중국에서 크게 퍼진 바이러스 가운데 하나는 ‘Worm.Win32.Gamarue.q’ 였다. 이 웜(Worm) 바이러스를 신고한 누리꾼은 연 2만4,800명에 달했다.

이 바이러스는 시스템 진행 프로그램을 주입하고, 다른 바이러스 프로그램들이 활동하게 한다. 또 시스템 파일 폴더 안에 자아 복제를 하고 레지스트리를 수정해, 컴퓨터가 시작한 뒤 자동 활동할 수 있게 한다.

이어 이 웜 바이러스는 컴퓨터를 해커가 미리 지정해 놓은 웹주소에 연결시켜 다른 바이러스를 컴퓨터에 내려 받으며, 컴퓨터 안의 민감한 정보를 수집해 해커에게 발송하는 것으로 밝혀졌다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>