인터넷 계정·비밀번호와 은행카드 도용하는 백도어 활개

피싱 사이트 2만1100여개 탐지...누리꾼 10만명 공격 노출

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 주 컴퓨터에서 백도어(backdoor)를 작동시키고 해커의 명령을 실행하면서 민감한 정보와 인터넷사이트 계정·비밀번호를 빼내고 은행카드를 도용하는 새로운 백도어 바이러스가 출현해 누리꾼들에게 피해를 끼친 것으로 나타났다. 지난 주 중국에서 정보보안 업체가 찾아낸 피싱 사이트는 2만1,100여개로 한 주 전에 견줘 2,400개 늘었으며, 누리꾼 10만 명이 피싱 사이트의 공격을 받은 것으로 조사됐다.

中 1월 넷째주 컴퓨터 바이러스 발생 상황

중국 정보보안업체인 루이싱은 지난 19일~25일 자사 ‘클라우드 보안’ 시스템을 써서 차단한 비율을 기준으로 ‘컴퓨터 바이러스 톱10’을 꼽아 발표했다. 지난주 중국내 컴퓨터 바이러스 톱10은 △Trojan.Win32.FakeUsp △Hack.Exploit.Script.JS.Bucode △Hack.Exploit.Win32.MS08-067 △Trojan.Win32.Generic △Worm.Win32.MS08-067 △Trojan.Win32.FakeLPK △Worm.Win32.Autorun △Trojan.Win32.KUKU △Trojan.FakeIELnk △Trojan.Win32.SysVenFak 순으로 나타났다. 6위와 7위가 자리 바꿈을 했고, 8위 ‘Trojan.Win32.KUKU’가 새로 뽑혔다.

먼저 19일 중국에서 유행한 대표적인 바이러스로 ‘Backdoor.Win32.Berbew.I’가 꼽혔다. 루이싱의 보안 시스템이 연인원 2만4,990명으로부터 신고를 받은 이 백도어 바이러스는 시스템 디렉터리 아래 자신을 복사하며, 악성 ‘dll’ 파일을 만든다. 이어 레지스트리를 수정하며, 컴퓨터 사용자의 여러 인터넷 계정과 비밀번호를 훔쳐 해커가 지정한 웹주소로 보낸다. 동시에 시스템 권한을 손에 넣고, 해커에게 백도어를 열어 주는 것으로 밝혀졌다.

지난 20일 중국에서 널리 퍼진 바이러스 중 하나는 ‘Trojan.Win32.Delf.zdh┖ 였다. 연 2만4,852명이 신고한 이 바이러스는 컴퓨터에 깔린 여러 안티바이러스 프로그램과 보안 툴을 닫고, 레지스트리 개시 항목을 추가한다. 이어 해커가 지정한 웹사이트에서 많은 바이러스를 컴퓨터에 내려 받는다는 정보보안업계는 밝혔다.

이어 21일 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan-Spy.Win32.Zbot.sivr’ 였다. 연 2만4,932명이 신고한 이 바이러스는 음악 파일을 위장해 사용자를 꾀어 컴퓨터에 내려 받게 한다. 이어 임시 파일임시파일(temporary files) 폴더 아래 자신을 복사하고, 복사 프로그램을 자동 실행한다. 또 컴퓨터 안의 인터넷 계정과 비밀번호를 수집해 해커가 지정한 웹주소로 보내는 것으로 드러났다.

또한 22일 중국에서 크게 유행한 바이러스 가운데 하나는 ‘Trojan.Spy.Win32.Gamker.a’로 연 2만5,123명이 신고했다. 이 바이러스는 컴퓨터 안이 백신 프로그램을 닫고, 컴퓨터 안의 브라우저를 전용해 해커가 지정한 웹주소에서 다른 바이러스를 내려 받는다.

동시에 이 바이러스는 BUH, BANK, ACCOUNT, CASH, KASSA, DIREK, FINAN, OPER, FINOTDEL, DIRECT, ROSPIL 등 인터넷 뱅킹과 관련한 키워드를 찾아내고 컴퓨터의 실행 과정을 감시한다. 또한 컴퓨터 자판 감시 기능을 열어 사용자의 계정과 비밀번호 등 정보를 기록한다. 이어 이를 평문 형식으로 저장해 해커에게 발송한다고 정보보안업계는 밝혔다.

주말이 들었던 23~25일 사흘 동안 중국에서 널리 퍼졌던 대표적인 바이러스는 ‘Backdoor.Win32.Gpigeon2010.aay’였다. 연 2만5,305명이 신고한 이 백도어 바이러스는 한 유명 보안프로그램으로 위장하고, ‘Copysss.bat’ 파일을 C디스크 디렉터리에 넣으며, ‘dll’ 파일 ‘2683578_360.temp’을 ‘Temp’ 파일 폴더에 삽입한다는 루이싱 쪽은 밝혔다.

이 바이러스는 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 바이러스 활동을 개시한다. 컴퓨터가 이 바이러스에 감염될 경우, 중요한 정보들이 유출되고 기밀 파일들이 도난당하며 컴퓨터는 해커의 봇이 되는 위험에 놓이게 된다고 루이싱은 강조했다.

中 1월 넷째 주 피싱 사이트 발생 상황

루이싱의 보안 시스템이 지난 19일~25일 중국에서 탐지한 피싱 사이트 수는 2만1,142개로 한 주 전보다 약 2,500개 늘었다. 피싱 사이트의 공격을 받은 누리꾼은 10만 명으로 1만 명 늘었다.

또한 지난 주에도 중국에서는 이용자들이 많고 유명한 모바일 메신저, 온라인 쇼핑몰, 온라인 결제 사이트, TV 오락 프로그램, 은행, 포털 사이트, 의약 등을 사칭한 피싱 사이트들이 활개를 쳤다. 이들 피싱 사이트는 누리꾼들의 개인 정보와 인터넷 사이트 계정·비밀번호 등을 빼내는 데 악용됐다. 정보보안 업계는 피싱 사이트들이 바이러스나 트로이목마를 숨기고 있으므로 클릭해서는 안 된다고 당부했다.

루이싱의 보안 시스템이 집계한 일자 별 트로이목마와 피싱 사이트 발생 상황을 보면, 먼저 웹페이지에 숨은 트로이목마의 공격을 받은 누리꾼 수는 19일 연인원 1만8,639명, 20일 1만8,969명, 21일 2만912명, 22일 2만1,912명, 주말이 포함된 23~25일에는 연 5만4,283명으로 조사됐다. 루이싱이 보안 시스템을 써서 찾아낸 트로이목마 삽입 웹페이지 수는 19일 1만587개, 20일 1만657개, 21일 1만1,532개, 22일 1만2,985개, 23~25일 3만87개로 집계됐다.

피싱 사이트의 공격을 받은 누리꾼 수는 19일 연인원 1만1,676을 기록했고, 20일에는 연 1만5,256명, 21일 1만1,595명, 22일 연 1만5,866명, 23~25일에는 연 4만2,784명에 달했다. 이어 루이싱의 보안 시스템이 탐지한 피싱 웹주소는 19일 3,574개, 20일 4,817개, 21일 3,361개, 22일 4,302개, 주말인 23~25일 1만501개를 각각 기록했다.

지난 주 일자 별로 중국내 ‘피싱 사이트 톱5’을 보면, 중국 토종 모바일 메신저 ‘웨이신’(WeChat)으로 가장한 www.456so.cn/_tpl/1/54/index.php(사용자를 속여 계정과 비밀번호 훔침)이 포함됐다.

은행의 경우, 중국 최대 은행인 중국공상은행을 사칭한 △http://174.139.22.59/icbc/ △http://107.160.68.147/icbc/ △www.icbc-cn.cn △www.icbcfdo.com/indec.html 등도 톱5에 포함됐다. 이들 피싱 사이트는 사용자의 은행 카드번호와 비밀번호를 훔친다. 지난 21일 톱5에 든 중국건설은행을 사칭한 http://admin.hqxsvu.com/app/ccbMain는 사용자를 속여 카드 번호와 비밀번호를 빼낸다.

허위 온라인 구매류 피싱 사이트로는 △http://i5gr.com http://i5gr.com △http://zhtao.cn △www.factiondot.cn △www.i5gr.com △www.fusijia.cn △www.yadaegf.cn 등이 톱5에 들었다. 이들 피싱 사이트는 허위 구매 정보로 사용자를 속여 금전을 편취하는 것으로 드러났다.

중국 최대 온라인 쇼핑사이트 타오바오(taobao)를 사칭한 △hwww.psubsp.com △http://fcfc.72md0sh.com △http://thn.swlnkyp.com 등은 사용자를 속여 계정과 비밀번호를 훔친다. 22일에는 세계적인 온라인 금전 결제 사이트 페이팔(PayPal)을 사칭한 http://120.151.100.7/ClientHelp/2/initthi.html 이 톱5 안에 들었다. 이 피싱 사이트는 사용자를 속여 계정과 비밀번호를 편취한다.

가짜 의약류 피싱 사이트의 경우 △http://qb.zimilan.org △www.miaotiao315.com △www.meirentanggw.com △http://yhsl.meiyuanchun.com/zy △www.meirentanggw.com △http://mt.meiyuanchun.com/mrt/ 등이 탐지됐다. 이들 피싱 사이트의 경우 허위 의약 정보로 사용자를 속여 송금을 유도한다.

중국 유명 인터넷 사이트 텅쉰(Tencent)의 S/W로 가장한 피싱 사이트인 △www.sqzzg.com △http://qq.y.compuinter.com/588/log.htm △www.cf5730.com 등은 허위 S/W 정보로 사용자를 속여 계정과 비밀번호 정보를 빼내는 것으로 밝혀졌다.

구글(Google) 메일로 위장한 www.ilan32.com/GGoogle/trulia.html 은 지난 20일 톱5 안에 들었다. 이 가짜 구글 사이트는 사용자를 속여 계정과 비밀번호 빼내는 것으로 나타났다.

중국에서도 인기를 끌고 있는 중국판 TV 오락 프로그램 ‘아빠 어디가’로 가장한 www.hbbswtv.com/ 은 ‘아빠 어디가’ 쪽이 주관한 당첨 정보인 것처럼 속여 사용자에게 송금을 유도한다. 주말 동안 피싱 사이트 톱5에 든 정부 사칭 www.ksup.com.cn는 사용자가 방문하도록 끌어 들여 불법으로 이익을 챙기는 것으로 밝혀졌다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>