PC내 정보와 인터넷뱅킹 계정·비밀번호 빼내는 새 바이러스 기승

보안업체 2만1750개 피싱사이트 탐지···中 누리꾼 9만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 ‘5·1 노동절’ 연휴기간에 바이러스 프로그램을 써서 시스템 프로그램을 대체하고 많은 바이러스들을 컴퓨터에 내려 받으며 개인정보와 인터넷 사이트·인터넷뱅킹 계정과 비밀번호를 빼내는 ‘Generic’ 이란 이름의 새 바이러스가 기승을 부린 것으로 나타났다.

또한, 이 기간 중국에서 정보보안업체가 탐지한 피싱사이트는 2만1,750개에 달하고, 9만 명의 중국 누리꾼이 피싱사이트의 공격을 경험한 것으로 조사됐다.

中 4월 27일~5월 3일 주요 컴퓨터 바이러스

중국 정보보안업체 루이싱이 자사 ‘클라우드 보안’ 시스템의 모니터링 결과를 바탕으로 최근 내놓은 보고에 따르면, 4월 27일~5월 3일 한주 동안 중국 보안업계와 누리꾼의 주목을 받은 대표적인 컴퓨터 바이러스는 ‘Trojan.Win32.Generic.182215FF’였다. 이 ‘Generic’ 바이러스는 컴퓨터에서 활동 개시 후 ‘C:\WINDOWS\system32\msnadt.exe’를 투입해 실행시키며, 바이러스 프로그램을 이용해 시스템 프로그램을 대체한다고 루이싱은 밝혔다.

또한, 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시켜 더 많은 바이러스들을 내려 받는다. 컴퓨터가 이 바이러스에 감염되면 사용자는 민감한 정보들이 유출되고 여러 인터넷 사이트와 인터넷뱅킹 계정·비밀번호도 도난당할 위험에 놓이게 된다.

날짜별로 중국에서 기승을 부린 주요 컴퓨터 바이러스를 살펴보면, 먼저 4월 28일에는 ‘Trojan.Win32.Downloader.bh’가 지목됐다. 루이싱의 보안 시스템이 연인원 2만4,012명으로부터 신고를 받은 이 바이러스는 컴퓨터내 백신SW 실행을 중지시키고 레지스트리를 고쳐 백신SW의 바이러스 탐지·퇴치를 피한다. 또 인터넷 익스플로러(IE) 브라우저 실행 프로그램을 만들어 해커가 지정한 서버로부터 바이러스 파일과 트로이목마를 컴퓨터에 내려 받는 것으로 드러났다.

지난달 28일에는 ‘Trojan.Win32.Downloader.bi’가 중국에서 널리 퍼졌다. 연 2만 3,808명이 신고했다. 이 바이러스도 27일 기승을 부린 ‘Trojan.Win32.Downloader.bh’과 같은 행위를 벌이는 것으로 밝혀졌다.

이어 29일 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.Win32.OnlineGames.hu’로, 연 2만3,770명이 신고했다. 이 바이러스는 온라인게임 계정 절취 전문 트로이목마다. 키보드 기록과 게임 창 정보와 저장정보 등에 접근하는 방식을 통해 여러 인기 온라인게임의 계정과 비밀번호를 훔친다. 그만큼 온라인 게임 이용자들에게 큰 위협이라고 보안업계는 강조했다.

4월 30일부터 중국 ‘5·1 노동절’ 연휴(5월 1일~3일)까지 나흘 동안 중국에서 기승을 부린 대표적인 트로이목마 바이러스에는 ‘Trojan.Win32.KillAV.cyf’이 꼽혔다. 연 2만2,341명의 누리꾼이 신고했다.

이 바이러스는 커널(Kernel)을 통해 커널 데이터를 읽고 쓰며, 중요한 모니터링 함수를 수정하고 백신 SW의 모니터링을 마비시킨다고 루이싱은 설명했다. 또한, 악성 프로그램을 투입하고, 악성 코드를 자원관리기의 실행 프로그램 안에 끼워 넣는 것으로 드러났다.

이 바이러스는 또 백그라운드에서 각종 악성 SW를 컴퓨터에 내려 받으며, 컴퓨터를 특정한 원격 서버에 연결시키고 해커의 후속 명령을 기다린다. 이 바이러스의 공격을 받은 컴퓨터는 하드 디스크 데이터 유실과 중요 정보 도난 등 위험에 처하게 된다.

中 4월 27일~5월 3일 주요 피싱 사이트

루이싱은 이 기간 자사 ‘클라우드 보안’ 시스템을 써서 중국에서 2만1,750개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전에 비해 2,500여개 늘었다. 같은 기간 피싱 사이트들의 공격을 받은 중국 누리꾼은 9만 명에 달했다.

일별로 살펴 보면, 피싱 사이트의 공격을 겪은 중국 누리꾼 수는 4월 27일 연인원 1만4,529명, 28일 연 1만5,442명, 29일 연 1만1,956명, 4월 30일~5월 3일 나흘 간 연 3만5,319명에 달했다고 루이싱은 밝혔다. 루이싱 쪽이 탐지한 피싱 웹주소는 4월 27일 3,455개, 28일 3,370개, 29일 3,443개, 4월 30일~5월 3일 1만2,417개를 각각 기록했다.

일별로 중국에서 기승을 부린 피싱사이트 톱5를 보면, 먼저 4월 27일 피싱 사이트 톱5에는 △중국 최대 게임·메신저·포털 사이트인 텅쉰(tencent)를 가장한 http://1.qqshipin.duapp.com/ (허위 (상품) 수령 정보로 사용자를 속여 송금 유도) △가짜 온라인 구매(쇼핑)류 www.jjzl.com.cn/ (가짜 구매 정보로 사용자를 속여 송금 유도) △중국 최대 은행인 중국공상은행을 사칭한 http://xinyidai188.com/icbc/default.htm (사용자를 속여 카드 번호와 비밀번호 훔침) △가짜 의약류 www.temtion.com/ (허위 의약 정보로 사용자를 속여 송금 유도) △야후(Yahoo) 전자우편으로 위장한 https://login.yahoo.com/config/mail?.src=ym&.intl=us (사용자의 계정과 비밀번호 편취) 등 차례로 꼽혔다.

지난달 28일 피싱사이트 톱5은 △중국 최대 온라인 쇼핑 사이트 타오바오로 이장한 http://tb9997.txlpo.top/ (허위 주문서 정보로 사용자를 속여 계정과 비밀번호 훔침) △중국 최대 이동통신서비스회사 중국이동통신을 사칭한 http://10086eir.cc/ (허위 현금 교환 정보로 사용자를 속여 카드 번호와 비밀번호 빼냄) △중국공상은행을 사치안 http://wap.icbczoy.com/login.asp (사용자의 카드 번호와 비밀번호 편취) △의약류 사칭 사이트 http://ua.cq375.cn.zzszw.com/zl/ △가짜 구글(Google)류 http://119.18.57.69/~royalhos/quote/requested/ (사용자의 계정과 비밀번호 정보 훔침) 등 차례였다.

이어 4월 29일에 기승을 부린 5대 피싱사이트는 △가짜 타오바오류 http://tgtuidang.enkqtg.info △중국 최대 카드 회사 중국인롄을 사칭한 http://95516-db.com/ 사용자의 카드 번호와 비밀번호 편취) △중국공상은행을 사칭한 http://98.126.196.213:9900/ (사용자 카드번호와 비밀번호 편취) △가짜 의약류 www.ailigach.com/ △구글로 위장한 http://ruchi.com.br/shagala/ 등이었다.

중국 노동절 연휴가 들었던 4월 30일~5월 3일 나흘 동안 피싱사이트 톱5에는 △가짜 온라인게임류 http://9flol.com/ (허위 거래로 사용자를 속여 금전 빼냄) △중국공상은행을 사칭한 http://wap.lcbccb.com △중국판 인기 TV 프로그램 ‘보이스 오브 차이나’를 가장한 www.hxxxk.cc/ (방송 프로그램 주관 당첨 정보로 사용자를 속여 계정과 비밀번호 훔침) △가짜 의약류 www.xxtcrj.com/ △중국건설은행을 사칭한 http://cocopd.com/ (사용자를 속여 카드 번호와 비밀번호 훔침) 등이 지목됐다.

이들 피싱사이트는 바이러스나 트로이목마를 숨기고서 누리꾼의 인터넷뱅킹 계정과 비밀번호, 개인정보를 노렸다. 중국 내 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수를 보면, 4월 27일에는 연인원 1만2,206명, 28일 연 1만5,207명, 29일 연 1만1,956명, 4월 30일~5월 3일 연 3만5,319명으로 집계됐다고 루이싱은 밝혔다. 트로이목마가 숨어 있던 웹주소는 4월 27일 8,615개, 28일 8,081개, 29일에는 6,910개로 줄었으며, 4월 30일~5월 30일 나흘 동안에는 1만4,165개를 기록했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>