[보안뉴스 김경애] 국내 웹사이트를 노린 악성URL이 수그러들지 않고 여전히 기승을 부리고 있다. 특히, 계정탈취와 금융정보를 노린 피싱과 파밍사이트가 갈수록 진화하고 있어 이용자들의 주의가 요구된다.

국내 웹사이트 노린 악성 URL ‘활개’

먼저 29일에는 사용자 정보 체크와 CK의 VIP 킷 공격 감지, CK의 VIP 키트 # 2 악용, 사용자 쿠키를 체크하는 악성URL이 종교 관련 사이트에서 발견됐다. 이보다 앞서 지난 28일에는 00컨택센터협회 사이트, 00클리닉 사이트, 휴대폰 소매 판매 사이트에 악성 URL이 삽입된 정황이 포착됐다. 해당 악성 URL은 사용자 정보와 사용자 쿠키정보 등을 수집하는 기능을 갖춰 이용자의 개인정보와 금융정보를 노리고 있다.

이어 제로보드 취약점을 이용한 악성파일 삽입도 지속적으로 발견되고 있다. 지난 27일에는 000씨 사이트에 악성링크가 삽입됐으며, 이보다 하루 앞선 지난 26일에는 이사화물 사이트에 사용자 쿠키정보와 사용자 정보를 체크하는 기능의 악성링크가 삽입된 정황이 포착됐다.

이를 본지에 제보한 해외 사이버보안전문가 엘뤼아르는 “최근 90일 동안 해당 사이트의 104개 페이지를 테스트한 결과 102개 페이지에서 악성 소프트웨어가 사용자의 동의 없이 다운로드 되어 설치되는 것으로 나타났다”고 밝혔다.

악성URL 단골사이트 ‘여전’

이어 반복적으로 악성 URL이 나타나는 단골 사이트도 지속적으로 발견되고 있다. 지난 25일에는 00산업교류재단 사이트에서 파밍사이트로 연결되는 악성링크가 삽입된 정황이 포착됐으며, 천마, 상황버섯, 비타민나무 제품 등을 판매하는 생약 쇼핑몰 사이트에도 악성 URL이 발견됐다.

이를 본지에 제보한 한 제보자는 지난 25일 “처음에는 백신이 진단하고 차단하는데 다음 번에 접속하면 해당 주소가 나오지 않는다”며 “해당 사이트의 경우 취약점을 찾아 원인을 제거해야 한다”고 밝혔다.

이에 본지가 28일 생약 쇼핑몰 사이트를 살펴본 결과 백신에서 진단한 공격 시그니처와 일치했다. 게다가 해당 사이트는 앞서 지난 13일에도 악성링크가 삽입돼 본지가 보도한 바 있다. 따라서 근본적인 원인 파악과 조치가 필요하다는 게 보안전문가들의 공통된 의견이다.

이어 보안업체 빛스캔 역시 일부 사이트에서 PC와 모바일을 동시에 감염시킬 수 있는 코드가 삽입되어 있었다며, 특히 모바일을 타깃으로 하는 악성코드는 지난 5월부터 일부 SNS 뉴스 사이트를 시작으로 몇몇 사이트에서 지속적으로 발견되고 있다고 밝혔다.

파밍 플로팅 배너 ‘기승’

플로팅 배너 창이 뜨는 파밍용 악성파일 역시 한 주간 기승을 부린 것으로 나타났다. 지난 28일 한 푸드 사이트의 경우 악성링크 경유지로 악용돼 최종 일본 구매대행사 사이트에서 악성코드가 다운로드된다.

만약 악성코드에 감염되면 금융감독원을 사칭한 파밍 플로팅 배너 팝업창이 뜨며, 해당 배너에는 15개 은행이 로고와 함께 리스트되면서 클릭을 유도하게 된다. 이중 시티은행을 클릭할 경우 시티은행을 사칭한 파밍 사이트로 연결되며 ‘보다 안전한 인터넷 뱅킹 이용을 위해 1월 1일부터 인터넷뱅킹, 스마트뱅킹, 폰뱅킹, 이 모든 뱅킹서비스 이용하시려면(개인, 기업) 본인(재)추가 인증 후 이용이 가능하다’는 문구의 팝업창이 뜬다. 

이렇듯 파밍사이트는 갈수록 지능화되는 양상이다. 이와 관련 한 보안전문가는 “기존 파밍사이트의 경우 은행을 클릭해야 별도 경고 글이 나왔었는데 이제는 접속만해도 자동으로 해당 경고창이 뜬다”며 기존 파밍사이트와의 차이점을 설명했다.

게다가 지난해 12월부터는 기존에 파밍사이트들의 목록이 하나씩 추가되기 시작하면서 범위도 점차 확대되는 분위기다. 빛스캔에 따르면 지난 2월에는 로또 사이트를 시작으로 해외 포털 중 하나인 빙과 구글, 그리고 국내 포털 검색페이지까지 파밍리스트에 추가됐으며, 지난 5월 13일에는 그동안 동작하지 않았던 구글페이지에서 파밍 플로팅 배너가 등장했다고 밝혔다.

특히, 구글을 통한 파밍 배너가 출현하면서 거의 모든 검색 사이트에서 파밍 악성코드 감염시 플로팅 배너가 보여진다고 밝혔다. 파밍용 악성코드는 국내에서 가장 많이 활용되고 있으며, 이를 통해 다수의 공인인증서 및 금융정보가 유출되고 있다고 우려했다.

또한, 29일에는 서울동부지검 사이트를 사칭한 피싱사이트도 발견됐다. 이와 관련 한 보안전문가는 “서울동부지검 피싱사이트에서 사건 조회를 클릭하면 형사사법포탈 사이트를 사칭한 사이트로 이동한다”며 이용자들의 주의를 당부했다.

국내 웹사이트, 디페이스 해킹에 여전히 ‘몸살’

이외에도 디페이스 해킹을 당하는 국내 사이트 역시 여전히 끊이지 않고 발견되고 있다. 심지어 지난 28일에는 두 해커조직으로부터 디페이스 해킹을 당한 사이트도 발견됐다. 이보다 앞서 지난 24일에도 IT 컨설팅 웹사이트와 영문이력서 지원자와 지원회사를 매칭하는 서비스 웹사이트가 디페이스 해킹을 당한 정황이 포착되기도 했다.

이와 관련 한 보안전문가는 “디페이스 해킹은 자기과시용이 많은 것으로 알려져 있는데, 꼭 그렇지만도 않다”며 “공격자가 개인정보 등 필요 정보를 사전에 모두 탈취한 후, 맨 마지막 단계에서 알리고 나가는 경우가 적지 않다”며 허술한 웹사이트 관리의 심각성을 지적했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>