• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[주간 악성링크] 게임·쇼핑몰·금융 이용자 노린 멀티 파밍 공격 外 2015.09.15

웹사이트 보안 취약한 협회·의료·기관 등 악성URL 줄줄이 포착 

쇼핑몰·은행·게임사이트 위장한 멀티 파밍용 악성코드 발견


[보안뉴스 김경애] 웹사이트 보안이 허술한 기관이나 협회, 의료 분야에서 악성링크가 줄줄이 탐지되는가 하면 게임사, 쇼핑몰, 인터넷뱅킹 이용시 사용되는 개인정보를 노리는 멀티기능의 파밍용 악성코드까지 등장했다.

 ▲ 지난 14일 악성URL이 탐지된 한국XX협회 XXXXX클럽 사이트 화면


협회·기관 타깃으로 악성URL 삽입

먼저 한 주간 보안이 취약한 협회나 기관 사이트에서 악성URL이 잇따라 탐지됐다. 지난 14일 한국XX협회 XXXXX클럽 사이트에서 사용자 쿠키 정보와 악성 스크립트, 여러 개의 악성URL이 삽입된 정황이 포착됐다. 특히, 해당 사이트의 경우 건축 및 철강 분야 등의 경력자나 전문가들이 자격시험을 응시할 수 있는 사이트로 원서접수 클릭 시 이름, 소속 등의 개인정보 입력을 요구하고 있다. 뿐만 아니라 공격자는 어떤 스크립트가 심어져 있는지 알 수 없도록 자바 스크립트를 암호화해 놓은 상태다.


이보다 앞서 지난 11일 정부부처 산하 자연생태 XXXXX사이트에서는 사용자 코드를 추적하는 악성URL이 탐지됐다. 이에 대해 메가톤은 “최근 학교나 기관 사이트에서 악성코드가 잇따라 발견되고 있다”며 “해당 사이트의 경우 웹페이지에 스크립트나 아이프레임(Iframe) 등이 삽입되어 사용자가 사이트에 접속하면 악성사이트로 연결되며, 악성코드가 다운로드된다”며 주의를 당부했다.


지난 8일 한국XXX화랑단 사이트에서는 사용자의 쿠키 정보와 의심스러운 URL, CAB 파일 서명을 확인하는 악성코드가 탐지됐다. 제보자인 메가톤은 “특히, 해당 사이트는 외부 웹사이트에서 악성코드를 불러오며, 악성코드 삽입으로 인해 관련 단체 및 공공기관을 대상으로 악성코드 유포가 가능하다”고 우려했다.


4일에는 XX문화우호협회 사이트에서 다른 사이트의 브라우저를 리디렉션하는 트로이목마가 탐지됐다. 또한, 사용자정보 확인, 사용자 추적 코드, 스윗 오렌지 킷(Sweet Orange Kit) 공격이 발견되기도 했다. 해당 사이트의 경우 소프트웨어의 취약점을 이용해 PC에 악성코드가 다운로드될 수 있다는 게 메가톤의 설명이다.


의료분야, 악성코드 기승

이어 보안이 취약한 병원 사이트에서도 악성 URL이 줄줄이 탐지됐다. 지난 10일 XXXXX노인병원 사이트에서는 악성스크립트와 악성URL을 비롯해 사용자 정보를 체크하는 악성코드와 홈페이지 게시판 등 자체 취약점을 이용한 공격이 잇따라 탐지됐다. 이어 지난 7일 XXXX치과의원 사이트에서도 악성코드가 유포된 정황이 포착됐다.

 ▲ 지난 10일 악성스크립트와 악성URL이 삽입된 XXXXX노인병원 사이트 화면


이외에 실시간 증권방송 솔루션 XX라이브넷 사이트에서도 사용자 추적 코드, 사용자 정보를 체크하는 악성 URL이, XXXX.hs.kr 웹페이지에서는 블랙홀 익스플로잇 킷(Blackhole Exploit Kit)과 사용자 쿠키정보, 악성 URL이 탐지됐다. 또한, 대한예수교장로회 XX교회 웹사이트에서 제로보드 취약점을 이용해 악성 URL이 삽입된 정황이 포착됐다.


멀티 공격 위한 파밍용 악성코드

이 뿐만 아니다. 지난 13일에는 인터넷 뱅킹, 게임, 쇼핑몰 사이트를 위장한 파밍용 악성코드가 발견됐다. 기존 파밍용 악성코드는 금융정보 탈취를 목적으로 하나 이번에 발견된 파밍용 악성코드는 게임에서 이용되는 아이디와 비밀번호, 쇼핑몰 사이트에서 사용되는 개인정보 등을 동시에 노리고 있는 것이 특징이다.

 1. 상단 사진은 파밍용 악성코드에 감염됐을 때 인터넷 설정에서 프록시 서버가 (공격자에 의해) 설정되고, 랜 설정에서 DNS를 조작해(가령 네이버를 열고자 하면 진짜 네이저가 아닌 공격자가 만들어 놓은 가짜 네이버 창이 열리게 설정) 파밍 페이지로 유도하는 화면, 2. 하단 좌측 사진은 게임 사이트로 감염 후 사이트에 접속하려면 가짜를 보여주고 ID와 PW를 입력하면 공격자에게 전송된다. 3. 하단 우측 사진은 악성코드가 바탕화면에 가짜 쇼핑몰(옥션, 11번가, g마켓) 바로가기를 만드는 화면으로 클릭하면 공격자가 만들어 놓은 가짜 쇼핑몰(파밍 페이지)로 이동하고, ID와 PW를 입력하면 공격자에게 전송된다.


이에 대해 Auditor Lee는 “동시 공격하는 파밍용 악성코드를 현재 상당수의 백신에서 아직까지 탐지하지 못하고 있는 실정”이라며 “기존에는 파밍용 악성코드에 감염되면 인터넷뱅킹시 입력되는 금융정보가 탈취되는 반면, 이제는 쇼핑몰에서 사용되는 개인정보와 게임사에서 사용되는 개인정보까지 노리고 있다. 특히, PC에 공인인증서가 저장되어 있으면 이를 유출시킨다”며 주의를 당부했다.


디페이스 해킹

디페이스 해킹 역시 한 주간 잇따라 발견됐다. 지난 8일 한국이산화탄소포집XXXXXXX센터 사이트, 해양 솔루션 제공업체 XXXX인더스트리스 사이트, XX외국어고등학교 웹사이트가 디페이스 해킹을 당한 정황이 포착됐다.

 ▲ 지난 8일 디페이스 해킹 정황이 포착된 한국이산화탄소포집XXXXXXX센터 사이트 화면


이와 관련 메가톤은 “이번 연쇄다발적인 디페이스 해킹 공격의 경우 한 조직이 저지른 것으로 추정된다”며 “총 10여개 사이트를 해킹한 후, 디페이스했다”고 말했다.
[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>