해커 PC 통제해 인터넷 비밀번호 훔치는 새 백도어 바이러스 활개

中 보안업체 피싱 사이트 2만600여개 탐지...누리꾼 10만명 공격 받아

[보안뉴스 온기홍=중국 베이징] 중국에서 9월 들어 첫째주 자신을 숨기고 백그라운드에서 컴퓨터를 해커가 지정한 웹주소에 연결시켜 해커의 통제 아래 놓이게 하고 인터넷뱅킹 비밀번호 등 중요한 정보들을 빼내는 새 백도어(Backdoor) 바이러스가 활개를 친 것으로 나타났다. 또 지난 한 주 동안 중국에서 보안업체가 찾아낸 피싱 사이트는 2만600여개였으며, 중국 누리꾼 10만명이 피싱 사이트의 공격에 노출된 것으로 드러났다. 

中 8월 31일~9월 6일 주요 PC 바이러스

중국 정보보안회사인 루이싱정보기술은 지난 8월 31일~9월 6일 한 주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Backdoor.Overie!1.64BD’라고 밝혔다.

이 백도어(Backdoor) 바이러스는 파일 폴더를 Application Data 디렉터리 아래 복사하며, 파일 폴더를 숨김으로 설정한다. 이어 파일 폴더 중 crossfire.exe의 바로가기를 추가해 컴퓨터 시작과 함께 활성화하게 만든다. 동시에 백그라운드에서 PC를 해커가 지정한 웹 주소에 연결시키고 해커의 통제를 받는다.

컴퓨터가 이 백도어에 감염되면, 중요하고 민감한 정보들이 유출되고 온라인 계정과 비밀번호들이 도난 당하며, 컴퓨터가 해커의 손아귀에 들어가게 된다고 루이싱은 강조했다. 루이싱은 이 바이러스에 대한 경계 등급으로 별 다섯 개 중 네 개를 매겼다.

루이싱이 보안 시스템의 조사를 바탕으로 날짜별로 뽑은 중국내 대표적인 PC 바이러스를 보면, 먼저 8월 31일에는 ‘Trojan.Win32.Scar.k’가 꼽혔다. 루이싱이 자사 ‘클라우드 보안 시스템’을 통해 연인원 2만3,749명으로부터 신고를 받았다. 이 바이러스는 활동 개시 후 자신을 복제하고 지정된 서비스를 개시한다.

또 윈도우(windows) OS 업데이트 프로그램 안에 주입된다. 이어 감염된 PC의 정보를 몰래 훔쳐 해커가 지정한 서버로 보내며, 다른 바이러스들을 내려 받아 PC에 설치한다. 9월 첫째 날에는 ‘Trojan.Win32.FakeIcon.ah’가 중국에서 널리 퍼졌다. 연 2만3,590명이 신고했다. 이 바이러스는 시스템 디렉터리 아래 숫자로 명명된 파일 폴더 하나를 새로 만든다.

레지스트리 안에 자신을 추가해 컴퓨터 시작과 함께 자동으로 활성화하도록 만든다. 또 컴퓨터 안에 설치된 바이러스 퇴치 SW를 찾아내어 해당 업그레이드를 방해한다. 이어 컴퓨터를 해커가 지정한 서버에 연결시켜 다른 바이러스들을 내려 받는다. 동시에 컴퓨터 사용자의 개인 정보들을 훔치는 것으로 드러났다.

주말이 들었던 4일~6일 사흘 동안 중국에서 기승을 부린 대표적인 PC 바이러스는 ‘Worm.Win32.Autorun.dkg’. 연 2만3,215명이 신고한 이 웜(worm) 바이러스는 활동에 나선 뒤 시스템 파일 폴더에 자신을 복제해 컴퓨터 시작과 함께 자동으로 활성화하고 자동으로 운행하는 파일을 만든다.

또 이 바이러스는 레지스트리를 수정하고 레지스트리 항목을 추가하며, 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시킨다. 이어 스팸 사이트를 위해 트래픽을 취하며 인터넷 익스플로러 실행 프로그램을 중지시켜 시스템에 이상을 초래한다고 루이싱은 밝혔다. 이로 인해 감염 PC에서는 네트워크 자원이 대량 점용되고 컴퓨터 운행 속도가 느려지며 브라우저에도 까닭 없이 이상이 생기는 것으로 나타났다.

中 9월 첫째주 피싱 사이트 발생동향

루이싱은 지난 8월 31일~9월 6일 한 주 동안 자사 ‘클라우드 보안’ 시스템을 써서 탐지한 중국내 피싱 사이트 수가 2만614개라고 밝혔다. 한 주 전에 비해 3,500개 가량이 줄었다. 또 이 기간 중국 누리꾼 가운데 10만 명이 피싱 사이트들의 공격을 받았다고 루이싱은 덧붙였다. 피해자 수는 한 주 전보다 1만 명 감소했다.

이런 가운데 지난 주에는 페이스북(Facebook)으로 위장한 http://xxnxsex9.ml/ccuc/, 가짜 의약류 www.axcard88.com/, 가짜 온라인 구매(쇼핑)류  http://test.xu1514.com 등 피싱 사이트들이 활개를 쳤다. 이들 피싱 사이트는 바이러스나 트로이목마를 숨긴 채 누리꾼들의 인터넷뱅킹 계정·비밀번호와 개인 정보들을 훔쳤다.

지난 주 피싱 사이트의 공격을 받은 중국 누리꾼 수를 보면, 8월 31일에는 연인원 1만4,656명, 9월 첫 날인 1일에일 연 1만2,631명, 주말이 들었던 4일~6일 사흘 동안에는 연 3만6,069명으로 각각 집계됐다. 루이싱이 보안 시스템을 써서 찾아 낸 피싱 웹주소는 8월 31일 3,396개, 9월 1일 3,859개, 4일~6일 6,952개였다.

날짜별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 8월 31일에는 △페이스북(Facebook)을 가장한 http://socialappshub.com/cl/visiteursgp.php?r；(사용자를 속여 카드 번호와 비밀번호 정보 훔침) △애플(Apple)로 위장한 www.gezginler.net/indir/itunes.html (허위 의약 정보로 사용자를 속여 송금 유도) △허위 온라인 구매(쇼핑)류 www.yadaegf.cn/ (허위 구매 정보로 사용자의 금전 편취) △중국건설은행을 사칭한 www.cbcliu.com/index.asp (사용자를 속여 카드 번호와 비밀번호 빼냄) △구글(Google)로 위장한 www.konceptatthemoment.com/way/newss/ (사용자를 속여 전자우편 계정과 비밀번호 정보 훔침) 등 순이었다.

9월 1일 중국내 대표적인 피싱 사이트 ‘톱5’는 △페이스북으로 가장한 http://fecebookk.host22.com/ △온라인게임으로 위장한 www.dnf4s.com/ (허위 S/W 정보로 사용자의 계정과 비밀번호 훔침) △허위 온라인 구매류 www.ycxwheel.com/ △중국건설은행을 사칭한 http://cbcknn.com/index.asp △구글을 가장한 http://joger.se/Money/dpbx/ 등 차례였다.

주말이 들었던 4일~6일 사흘 간에는 △페이스북을 가장한 http://stellabluesbar.com/musicphotos/932.html △온라인게임으로 위장한 http://dnf192.com/ △페이팔(Paypal) 사이트로 위장한 http://security.excedetupotencial.com/service/update/ (허위 구매(쇼핑) 정보로 사용자를 속여 금전 빼냄) △중국건설은행을 사칭한 http://69.165.64.13/index.asp △구글을 가장한 http://mbermudezlaw.com/file/xp/rum 순으로 피싱 사이트 ‘톱5’에 지목됐다.

루이싱정보기술이 보안 시스템을 써서 조사한 결과, 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 8월 31일 연인원 1만1,828명, 9월 1일 연 1만1,685명, 4일~6일 사흘 동안 연 3만2,444명이었다. 트로이목마가 숨은 웹주소는 8월 31일 2,849개, 9월 1일 2,983개, 4일~6일 6,427개가 각각 탐지됐다고 이 회사는 밝혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]  

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>