국내 웹사이트 곳곳에서 악성URL과 랜섬웨어 유포 기승  

[보안뉴스 김경애] 한 주간 플래시 업데이트를 사칭한 악성앱이 발견되는가 하면, 특정 사이트에서 24개의 악성URL이, 그리고 모바일 악성앱(APK)을 다운로드 하도록 유도하는 악성행위가 여러 사이트로 확대되는 등 국내 웹사이트가 각종 사이버공격으로 몸살을 앓고 있다. 뿐만 아니라 랜섬웨어 유포 정황도 지속적으로 발견되고 있어 이용자들의 주의가 요구된다.

플래시 업데이트 악성앱 발견

먼저 한 주간 악성앱이 활개를 친 것으로 드러났다. 안드로이드 플래시 업데이트(Flash Update)를 사칭한 악성앱이 발견되는가 하면 웹호스팅 업체 IP를 이용해서 악성앱이 유포되는 정황도 포착됐다.

이를 본지에 알려온 제보자는 26일 “발견된 악성앱은 국내 안드로이드 사용자를 대상으로 유포되고 있다”며 “IP 조회 결과 국내 웹호스팅 업체를 이용해서 유포되고 있으며, 백신 분석결과 해당 악성앱은 금융정보 탈취용으로 확인됐다”고 말했다.

같은 날 특정 커뮤니티 사이트에서 한 이용자는 안드로이드 스마트폰으로 한 언론사의 뉴스링크를 클릭했더니 갑자기 플래시 업데이트 팝업창이 떴다며 무심코 설치를 눌렀더니 구글 플레이스토어 업데이트를 해야 한다면서 알수 없는 출처 해제를 유도한다는 글을 올렸다.

이와 관련 카페에 글을 올린 이용자는 “플래시 업데이트를 사칭한 악성앱은 디바이스에 tmp 폴더를 만들고 폴더 안에는 삭제해도 또 생기는 test.apk가 생성된다”며 “플레이스토어 업데이트 팝업창은 1분 간격으로 뜬다”고 밝혔다.

이와 관련 보안전문 블로거인 울지 않는 벌새는 “안드로이드 스마트폰 사용자가 웹 사이트 접속시 설치창이 뜨면 금융정보가 유출될 수 있으므로 설치 이전에 경각심을 갖고 꼼꼼히 확인하는 습관을 가져야 한다”고 당부했다.

악성URL, 국내 웹사이트에서 활개 

이어 국내 웹사이트 곳곳에서 악성URL이 탐지됐다. 이와 관련 지난 24일에는 XX장애인 스포츠 후원회 사이트에서 악성URL(http://www.ro521.com/test.htm)과 CAB 파일을 확인하는 악성파일이 포착됐다.

이보다 앞서 지난 23일에는 컴퓨터 부품 및 주변기기 전문기업인 XX디컴 사이트와 국어, 영어, 예체능, 실용실무 등의 정보를 제공하는 XX빅토리 사이트에서 사용자 정보와 사용자 쿠키정보, CAB 파일을 확인하는 악성파일이 발견됐다.

지난 21일에는 투자정보 제공업체인 XXX정보 사이트에서 2개의 악성URL(http://s1.***jb.com/*.**, http://s1.***jb.com/**.**)이 발견됐고, 대리석 전문 업체인 XX대리석 사이트에서는 블랙홀 익스플로잇 킷(Blackhole Exploit Kit) 공격이 감지됐다.

지난 18일에는 속옷 쇼핑몰 사이트 서브 웹페이지에서 무려 24개의 악성 URL이 발견되기도 했다. 이와 관련 제보자는 “악성URL은 대부분 악3~4개 정도 심어져 있는데, 해당 사이트에서는 악성URL이 무려 24개나 심어져 있었다”며 “악성URL은 웹사이트의 메인 페이지가 아닌 서브 페이지에 심어져 있고, 메인 페이지는 들어가지지 않는다”고 설명했다.

이어 그는 “플래시, 자바 등의 취약점을 각각 따로 만들어 여러 개의 악성URL을 삽입했다”며 “해당 사이트는 메인 웹사이트가 아닌 서브 웹페이지에서 악성URL이 대거 발견된 점이 특징이다. 이는 공격자가 악성URL이 쉽게 발견되지 않기 위해 서브페이지를 이용했으며, 관리자가 없는 방치된 사이트를 이용해서 악성코드를 심어 경유지나 공격 목적으로 이용하려는 것으로 보인다”고 말했다.

랜섬웨어 유포지 발견

한 주간 랜섬웨어 역시 기승을 부린 것으로 나타났다. 지난 25일 크립토락커(Crypt0L0cker) 랜섬웨어 유포가 탐지됐다. 이를 본지에 알려온 울지 않는 벌새는 “발견된 랜섬웨어 감염 방식은 파일을 사용자가 직접 다운로드해서도 감염되기도 하지만 어떤 감염자는 구글 검색을 통해 사이트 접속으로도 감염된 것 같다”며 주의를 당부했다.

이보다 앞서 지난 19일부터 21일 주말 동안에는 3개의 특정 웹사이트에서 앵글러EK 랜섬웨어가 유포된 정황도 포착됐다.

모바일 악성앱 다운로드 유도 ‘기승’

이 외에도 모바일 악성앱(APK)을 다운로드 하도록 유도하는 악성행위도 한 주간 기승을 부린 것으로 나타났다. 특히, 지난 4월 하순부터 SNS 뉴스 사이트를 시작으로 연예관련 사이트 등으로 범위가 확장되고 있는 양상이다.

이와 관련 지난 9일 SNS 뉴스 사이트를 통해 유포된 악성앱의 파일 서버에서 19,000여건의 다운로드 카운터가 표기된 정황이 포착됐다.

빛스캔 측은 “해당 서버에서 나타난 수치는 SNS 뉴스 사이트를 통해 연결되는 악성앱 다운로드 유포지로 약 10시간 정도에 배포된 것으로 추정되는 수치”라며 “실제로 공격의 성공률은 측정할 수 없지만, 다운로드 카운터 수치로 볼 때 많은 사용자가 노출된 것 같다. 한 주간 수집된 공인인증서도 수만여 건을 넘어서고 있다”고 밝혔다.

또한, 빛스캔 관계자는 “6월에 들어서면서 소셜 뉴스 사이트에 대한 집중적인 공격과 P2P 사이트에 대한 공격이 확대되고 있다”며 “PC로 접속할 경우에는 파밍 공격용 악성코드가 다운로드되고, 안드로이드로 접속할 경우에는 악성 APK 설치를 유도하는 다운로드 링크가 나타난다”고 말했다. 대부분의 사용자들은 무심코 확인 또는 설치 버튼을 누르기 때문에 감염되는 사례가 늘고 있으며, 앞으로도 지속적으로 발생할 것으로 예상된다고 우려했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>