| [주간 악성링크] 파밍용 악성코드와 피싱사이트 기승 | 2015.04.19 | ||||||
사용자 PC DNS를 루프백으로 변경시키는 파밍용 악성코드 기승 언론사 사이트 등 악성코드 감염...방문자 금융정보 노려
네이버 사칭한 계정 탈취용 피싱사이트 발견 지난 17일 네이버 계정 탈취용으로 추정되는 피싱사이트가 발견됐다. 겉으로 보기엔 포털사이트인 네이버의 로그인 웹페이지와 유사하게 꾸며졌으나, 웹페이지 주소 입력창을 자세히 보면 네이버 주소가 아닌 다른 주소가 입력돼 있다.
이와 관련 한 보안전문가는 “공격자가 로그인 페이지 안에 들어 있는 리소스를 전부 카피해서 다른 곳에 삽입하면 화면이 동일하게 나오는 것을 노리고, 네이버의 로그인 폼 소스를 전부 불러왔다”며 “네이버를 사칭한 로그인 페이지에 아이디와 패스워드를 입력하면 로그인 정보가 네이버가 아닌 howit.co.kr로 전송된다”고 말했다. 기본 설정 DNS 서버 변조한 파밍용 악성코드 기승 지난 16일에는 공격자가 사용자의 PC DNS를 루프백으로 변경시켜 공격자가 만들어 놓은 가짜 파밍 사이트로 연결시키기 위해 일부 웹사이트를 경유지로 악용한 정황도 포착됐다.
▲ 본지가 지난 14일 입수한 파밍사이트 캡처 화면 이를 통해 이용자 PC가 악성코드에 감염될 경우 각종 금융기관을 사칭한 파밍사이트로 연결된다. 연결되는 파밍 사이트 중에는 금융감독원을 사칭한 ‘개인정보유출 2차피해예방등록 안내’ 팝업창 화면이 뜨거나, 국민은행을 사칭한 ‘금융정보 유출 피해 예방서비스가 전면 시행됩니다!’ 문구의 팝업창이 뜨는 파밍사이트로 연결되기도 한다. 또는 e-금융보안센터을 사칭한 ‘금융정보 유출2차 피해 예방서비스를 등록’ 웹페이지 화면이 뜨기도 한다. 이렇게 연결된 파밍사이트에서는 성명, 주민번호, 핸드폰, 공인인증서 비밀번호 입력을 유도한다. 이와 관련 한 보안전문가는 “사용자 PC의 기본 설정 DNS를 127.0.0.1(루프백)으로 변경시키고 DNS 캐시에 공격자가 만든 파밍사이트 주소를 삽입해 이용자가 네이버 등에 접속 시 파밍사이트로 연결시키는 것”이라고 설명했다.
또한, 언론사이트 W사의 웹페이지 및 모바일 사이트에서 두 차례에 걸쳐 악성링크가 삽입된 정황이 포착됐다. 지난 8일에는 초기 악성링크를 경유해 악성앱(APK)를 다운로드하도록 유도했고, 이후 15일에는 멀티스테이지 기법을 활용해 모바일이 아닌 일반 PC 사용자에게 영향을 준 것으로 알려졌다. 특히, 악성링크가 공용모듈에 삽입됐기 때문에 해당 사이트의 어느 페이지를 방문하더라도 동일하게 감염될 수 있었던 것으로 드러났다.
이처럼 최근 국내에 피싱사이트와 파밍용 악성코드가 들끓으면서 이용자들의 피해가 급증되고 있다. 더욱이 피싱 또는 파밍사이트인지 구분이 더욱 힘들어지는 등 그 수법도 갈수록 고도화되어 이에 대한 대책 마련이 요구되고 있다.
[김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||
 |
