12월 29일~1월 4일 인터넷 계정·비밀번호 훔치는 바이러스 활개

피싱사이트 2만1,00여개 탐지...누리꾼 연 12만 명 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서는 지난 12월 29일~1월 4일 시스템 파일로 위장해 사용자의 여러 인터넷 계정과 비밀번호를 훔치고 중요 정보를 유출시키는 ‘Hijclpk’이란 이름의 바이러스가 나타나 누리꾼들을 공격한 것으로 나타났다. 또한 이 기간 중국 정보보안 회사가 찾아낸 피싱사이트수는 2만 1,567개에 달했고 12만 명의 누리꾼이 피싱사이트의 공격을 받은 것으로 집계됐다.

中 12월 29일~1월 4일 컴퓨터 바이러스 발생 상황

중국 정보보안회사인 루이싱은 지난 12월 29일~1월 4일 자사 ‘클라우드 보안’ 시스템을 써서 탐지해 차단한 주요 컴퓨터 바이러스들을 공개했다. 특히, 이 기간 정보보안업계와 누리꾼의 주목을 받은 바이러스 가운데 하나는 ‘Trojan.Spy.Win32.Hijclpk.b’ 였다.

이 바이러스는 ‘lpk.dll’ 파일을 만들고 다른 디렉터리에 자신을 복사하며 시스템 파일로 위장해 숨는다. 또한 다른 바이러스를 컴퓨터에 내려 받고, 컴퓨터 안의 중요한 정보와 파일들을 훔쳐 해커에게 보낸다.

컴퓨터가 이 바이러스에 감염되면 사용자의 중요한 정보들이 유출되고 인터넷 계정과 비밀번호들이 도난당하는 위험에 놓이게 된다. 정보보안업계는 이 바이러스의 경계 등급으로 별 다섯 개 중 네 개를 매겼다. 날짜별 주요 컴퓨터 바이러스를 보면, 12월 29일 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.PSW.QQPass!47FC’ 였다. 루이싱의 ‘클라우드 보안’ 시스템은 연인원 2만5,033명으로부터 이 바이러스에 대한 신고를 받았다.

이 바이러스는 중국 최대 온라인 메신저인 ‘QQ’의 무료 ‘Q화폐’ 프로그램으로 위장해 사용자를 속여 계정과 비밀번호를 입력하게 한다. 사용자가 입력한 계정 정보는 곧바로 해커가 지정해 놓은 웹주소로 보내진다.

지난 12월 30일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Trojan.Spy.Win32.Gamker.a’ 였다. 연 2만 5,140명이 신고한 이 바이러스는 컴퓨터 안의 안티바이러스 S/W를 찾아내 작동을 중지시킨다. 또 컴퓨터 안의 브라우저를 전용해 해커가 정한 웹주소에서 다른 바이러스를 내려 받는다.

이 바이러스는 또 BUH, BANK, ACCOUNT, CASH, KASSA, DIREK, FINAN, OPER, FINOTDEL, DIRECT, ROSPIL 등 인터넷 뱅킹과 관련 있는 키워드를 모니터링한다. 이어 컴퓨터의 실행 프로그램을 감시 제어하고, 자판 감시 제어 기능을 켜서 사용자의 인터넷 뱅킹 계정과 비밀번호 정보를 기록한 다음, 평문 형식으로 저장해 해커에게 보내는 것으로 밝혀졌다.

중국에서 새해 ‘원단’ 연휴 기간인 1월 1~4일에는 ‘Worm.Win32.Gamarue.v’가 활개를 친 것으로 나타났다. 연 2만5,003명이 신고한 이 웜바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작한다. 동시에 ‘%AllUsersProfile%\Local Settings\’ 디렉터리 아래 자신을 복사한다.

이 바이러스는 U디스크, 이동 디스크 등 외장형 저장장치를 감염시키고, 백그라운드에서 컴퓨터를 해커가 지정한 많은 웹주소에 연결시킨다. 이어 해커에게 컴퓨터 안의 중요한 정보들을 전송하고 다른 많은 바이러스들을 내려 받는 것으로 드러났다.

中 지난 12월 29일~1월 4일 피싱사이트 발생 상황

루이싱의 ‘클라우드 보안’ 시스템이 지난 12월 29일~1월 4일 중국에서 탐지한 피싱 사이트 수는 2만1,567개로 한 주 전보다 260개 늘었다. 피싱 사이트로부터 공격을 받은 누리꾼 수는 12만 명으로 한 주전에 비해 2만 명 증가했다.

이와 함께 중국 최대 온라인 쇼핑몰 타오바오(taobao)로 가장한 피싱 사이트 http://tb.xinyunhl.com, 가짜 온라인 구매류 http://pinguo56.com, 허위 의약류 http://d.kangban365.com/orderinfo.do?c=147&p=1&w=10000 처럼 유명한 온라인 쇼핑몰과 결제 사이트, 은행, 이동통신회사를 사칭한 피싱 사이트들이 누리꾼들의 정보와 금전을 노렸다. 이들 피싱 사이트에는 바이러스나 트로이목마가 들어 있으므로 누리꾼은 이를 클릭해서는 안 된다고 정보보안 업계는 강조했다.

날짜 별로 피싱 사이트 발생 상황을 보면, 12월 29일에는 연인원 1만9,986명의 누리꾼 웹페이지에 숨은 트로이목마로부터 공격을 받았다. 루이싱은 ‘클라우드 보안’시스템을 써서 트로이목마가 들어 있는 웹페이지 1만199개를 찾아 냈다고 밝혔다. 또 연 1만5,745명의 누리꾼이 피싱 사이트의 공격에 노출됐고, 루이싱 쪽은 4,878개의 피싱 웹주소를 탐지했다.

루이싱이 집계한 이날 중국 내 피싱 사이트 톱5는 △중국 최대 인터넷 쇼핑몰 타오바오(Taobao)를 가장한 http://yhsimo.nhznuh.info(허위 정보로 사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매(쇼핑)류 http://pg6.pngjfzw.cn(허위 구매 정보로 사용자를 속여 금전을 빼냄) △허위 의약류 http://xueju.aishai365.com(허위 의약 정보로 사용자를 속여 송금 유도) △중국 최대 이동통신서비스회사인 중국이동통신을 가장한 http://cxx.nl-10086.com/wap.asp(허위 현금 교환 정보로 사용자를 속여 카드 번호와 비밀번호 빼냄) △중국 최대 은행 중국공상은행을 사칭한 http://107.149.34.11/com/icbcmybank.htm(사용자를 속여 카드 번호와 비밀번호 빼냄) 순이었다.

지난 12월 30일에는 연 1만8,996명이 웹페이지에 들어 있는 트로이목마의 공격 대상이 됐으며, 루이싱 쪽은 트로이목마가 숨은 웹페이지 9,787개를 발견했다. 누리꾼 연 1만5,058명이 피싱 사이트의 공격을 받은 가운데, 루이싱은 3,804개의 피싱 웹주소를 찾아내 차단했다고 밝혔다.

이날 중국내 피싱 사이트 톱5에는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://jsomgrfa.tk/taobao/com/a1.asp (허위 정보로 사용자를 속여 계정과 비밀번호 훔침) △허위 온라인 구매류 http://yq58.cn/ △허위 의약류 http://kfy.meiyuanchun.org/?As_News_YLF_L_Text_0201 △구글(Google) 메일로 위장한 http://log.krc0-ie.com/viewer.php(사용자를 속여 계정과 비밀번호 빼냄) △중국공상은행을 사치한 http://107.149.34.42/icbc/ 등이 꼽혔다.

중국에서 ‘원단’ 연휴 기간인 1월 1~4일 나흘 동안에는 연 6만5,232명이 인터넷 페이지에 숨어 든 트로이목마로부터 공격을 받았다. 루이싱 쪽은 트로이목마가 숨은 웹페이지 3만5,796개를 찾아 냈다. 또 연 4만 5,153명이 피싱 사이트의 공격에 노출된 가운데, 1만569개의 피싱 웹주소가 발견됐다.

지난 1~4일 연휴기간 중국내 피싱 사이트 톱 5는 △중국 최대 온라인 결제 사이트 즈푸바오를 사칭한 http://fdgdfg5.cdbpl.com/b1.asp △허위 온라인 구매류 http://pinguo56.com △허위 의약류 http://heigouqi.tdweb.com.cn △중국이동통신을 가장한 http://nf-10086.com △중국공상은행을 사칭한 http://www.wantall.org/index.htm 등 차례로 나타났다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>