랜섬웨어와 고스트랫 악성코드 유포 정황 포착

의약품거래 사이트 악성링크 삽입 등 국내 웹사이트 지뢰밭 수준  

[보안뉴스 김경애] 최근 랜섬웨어 악성코드가 기승을 부리고 있는 가운데 또 다시 악성코드가 유포된 정황이 포착됐다. 또한, 구글과 알리바바 등을 사칭한 피싱사이트를 비롯해 금융감독원을 사칭한 파밍사이트도 발견됐다. 게다가 의약품 거래 사이트에도 악성링크가 삽입되는 등 국내 웹사이트가 몸살을 앓고 있다.
 

국내 웹사이트 이용한 피싱과 파밍 사이트 기승
먼저 6일 한 언론사에서 악성코드가 유포되는 정황이 포착됐다. 해당 웹사이트에는 악성 스크립트가 삽입되어 있으며, CK VIP Exploit Kit가 심어진 경유지 사이트를 거쳐 최종 유포지에서 win.exe 악성코드가 사용자 모르게 PC에 다운로드된다.

CK VIP Exploit Kit은 해당 시스템에 취약점이 어느 것인지 찾고, 그 취약점에 맞는 악성코드를 내려주는 역할을 하며, win.exe 악성코드에 감염될 경우 개인정보와 금융정보 탈취를 목적으로 하는 금융감독원을 사칭한 파밍사이트로 연결된다.

이어 5일과 6일에는 각각 구글과 알리바바와 같은 유명 사이트를 사칭한 피싱사이트도 끊이지 않고 발견되고 있다. 이와 관련 한 보안전문가는 6일 “국내 사이트를 악용해 외국인을 겨냥한 피싱사이트가 발견됐다”며 “발견된 피싱사이트를 살펴보면 아이디와 패스워드를 입력하도록 유도하고 있다”고 밝혔다.

이보다 앞서 4월 23일에는 한 대기환경연구소 사이트에서 알리바바로 위장한 피싱사이트가 삽입된 정황이 발견됐다. 이를 본지에 제보한 카페다 사이트의 김근주 전산실장은 “알리바바로 위장한 피싱사이트에는 이메일 주소 또는 회원 아이디, 이메일 비밀번호와 회원 비밀번호를 입력하도록 유도하고 있다”고 말했다. 특히, 해당 피싱사이트는 6일 오전까지 방치돼 있었다.

이외에도 불법도박, 불법약물(비아그라 등)과 각종 음란물 사이트가 활개치고 있는 것으로 나타났다. 이와 관련 지난 4월 30일에는 한 종교협회 사이트가 불법도박 사이트로 악용되는 정황도 포착되었다. 

사용자 협박하는 랜섬웨어, 여전히 ‘활개’

최근 들어서는 랜섬웨어가 기승을 부리고 있는 가운데 또 다시 랜섬웨어 악성코드가 유포되는 정황도 포착됐다.

이와 관련 하우리 최상명 CERT실 실장은 “4월 29일 오후 5시경 이후부터, 그리고 5월 4일 오후 9시경부터 국내 웹사이트를 통해서 랜섬웨어 악성코드가 유포되는 정황이 각각 확인됐다”고 밝혔다.

이외에도 지난 1일에는 국내에 좀비 도메인으로 고스트랫(Gh0st RAT) 악성코드가 뿌려지는 정황도 포착됐다. 이는 국내 웹사이트가 경유지로 악용되어 사용자가 해당 웹사이트만 방문해도 중간 경유지와 최종 유포지를 거쳐서 고스트랫이 사용자 몰래 다운되는 것으로, 고스트랫 악성코드에 감염되면 사용자 PC는 해커가 명령을 내리는 대로 수행하는 좀비PC 역할을 하게 된다.

의료관련, 커뮤니티, 중소기업 사이트 등도 악성코드 유포

이 뿐만이 아니다. 지난 4월 25일에는 의약품거래 사이트의 메인페이지에서 비정상적인 링크가 삽입된 정황도 발견됐다.

이와 관련 빛스캔 측은 “이번에 발견된 악성링크는 카운터서버에서 이용되는 링크로, 악성코드 감염 등의 직접적인 피해는 없었지만, 상황에 따라 공격킷 삽입과 경유지 등으로 다양하게 활용될 수 있기 때문에 빠른 조치가 필요할 것으로 보인다”며 “특히, XX넷사이트 같은 경우 의료계에 종사하는 사람의 접속비율이 높은 것으로 추정돼 악성링크가 직접 삽입될 경우 의료정보 유출도 충분히 가능하다”고 밝혔다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>