피싱과 트로이목마 결합 공격...국제적 망신

발표된지 한참된 취약점으로 공격...여전히 뻥뻥

서버관리자 등의 보안의식 부재가 가장 큰 원인

국가사이버안전센터(이하, NCSC)는 지난달 브라질 침해사고대응기관으로부터 국내 모 대학 ○○학과 홈페이지 서버가 개인정보를 갈취하는 피싱 경유지로 악용되고 있다는 신고를 받고 조사를 실시한 바 있다.

NCSC 관계자는 “공격자는 제로보드 게시판 취약점을 이용해 해당 서버에 개인정보를 절취하는 트로이목마 프로그램을 업로드하고 이 트로이목마를 전파하기 위해 대량의 피싱메일을 발송한 것으로 확인됐다”고 설명했다.

NCSC 관계자는 “기존 피싱기법이 피싱사이트 접속 시 개인정보를 직접 입력하도록 유도하는 방법이었다면, 이 사고는 피싱사이트에 개인정보를 획득하는 백도어형 악성프로그램을 설치했다는 점이다. 즉 피싱 공격수법이 악성코드와 결합되는 형태로 점차 진화하고 있음을 알 수 있다”고 말했다.

 

해커는 모 학과 홈페이지를 해킹해 개인정보 절취용 트로이목마 프로그램과 메일발송 프로그램(spammer.php)을 업로드하고, 트로이목마를 전파시키기 위해 다량의 피싱메일을 발송했다.

NCSC는 피싱메일을 받은 사용자가 메일 본문에 링크된 사이트로 접속하면, 자동으로 토로이목마 프로그램이 다운돼 은행계좌 번호, 비밀번호 등과 같은 개인정보들이 공격자에게 전송되는 것을 확인했다.  

 

<브라질 해커의 국내 대학 공격 방법> 자료제공: 국가사이버안전센터

한편, 공격을 당한 모 대학 홈페이지는 관리자의 소홀로 취약점이 미패치된 제로보드 게시판이 그대로 설치되어 있었다. 이를 악용해 해커는 웹 서버 권한으로 트로이목마 프로그램과 피싱메일 발송 프로그램을 해당 서버에 업로드했던 것이다. 

NCSC 관계자는 “해커는 메일 발송프로그램을 이용해 브라질 전산망에서 확보한 메일주소 약 5만건 이상의 피싱메일을 발송한 것”이라고 말했다. 

 

<해킹후 트로이목마와 메일발송 프로그램을 설치> 국가사이버안전센터

이 피싱 사건은 브라질 은행 계좌를 목표로 한 것으로 추정되며, 메일을 받은 사용자가 메일 본문의 링크 주소를 클릭하면, 실제로 트로이목마 프로그램이 삽입된 피해시스템으로 접속, 사용자 모르게 개인정보를 탈취하는 트로이목마 프로그램이 자동으로 다운되는 방식이었다.

Cartao.scr은 화면보호기의 확장자를 사용해 사용자에게 쉽게 노출되지 않는 파일명으로 위장했으며, Malware의 한 종류로 밝혀졌다.

다운로드된 트로이목마는 사용자 활동을 모니터링하고 개인정보를 훔치는 악성코드로, 특히 은행이나 지불 관련 사이트를 방문하면 사용자 활동의 로그를 기록하고 모든 가로챈 정보를 공격자에게 상세히 전송했다.

 

<해커가 발송한 피싱메일 원문> 국가사이버안전센터

NCSC는 네트워크를 차단하고 해당 서버에 업로드된 트로이목마 프로그램과 메일발송 프로그램을 삭제했다. 또, 제로보드 게시판을 최신 버전으로 패치할 것과 PHP.ini 파일을 ‘allow_url_fopen=off┖로 설정해 외부 사이트에서 소스 실행권한을 금지시키고 특정 페이지에서만 외부 사이트의 소스 실행권한을 허용하도록 조치했다.

NCSC 관계자는 “피싱은 해킹수법의 하나로 자리 잡았으며, 개인정보를 빼내기 위한 기법도 고도화돼가고 있다. 이러한 피싱 경유지 악용사고는 국가 이미지 실추와 민ㆍ형사상 책임을 지는 경우가 있기 때문에 각급 기관의 서버 관리자의 적극적인 관심이 필요하다”고 강조했다.

또한, 그는 “취약점 공개가 오래전에 된 것임에도 불구하고 여전히 제로보드 게시판 취약점에 의한 공격에 당하고 있다. 이는 시스템 관리자의 보안의식 부재로 밖에 볼 수 없다”며 “웹 응용프로그램을 항상 최신 버전으로 유지하고 서버의 취약점 패치나 접근제한 등의 기본적인 보안설정에 관심을 기울이는 한편 주기적으로 국가사이버안전센터 홈피를 방문해 최신 사이버 위협 정보를 입수하고 점검ㆍ보완하는 것이 좋다”고 조언했다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>