PC 사용자의 웹사이트 비밀번호·개인정보 훔치는 백도어 활개
中 보안업체, 피싱 사이트 1만1000개 탐지...누리꾼 6만명 피해

[보안뉴스 온기홍=중국 베이징] 중국에서 지난 한주(11월 16일~22일) PC를 해커 쪽 서버에 연결해 악성 프로그램들을 내려 받고 사용자의 여러 인터넷 사이트 계정`비밀번호 및 중요한 정보들을 훔치는 새 백도어(Backdoor) 바이러스가 누리꾼들을 공격했다. 지난 한 주 중국에서 정보보안업체가 탐지한 피싱 사이트는 1만1,000여 개였으며, 중국 누리꾼 6만 명이 피싱 사이트의 공격을 받았다.

中 11월 16일~ 22일 주요 PC 바이러스
중국 정보보안회사인 루이싱정보기술은 지난 한 주 동안 보안업계와 누리꾼의 주목을 받은 대표적인 PC 바이러스는 ‘Backdoor.Win32.Mydoom.d’ 였다고 밝혔다. 이 백도어 바이러스는 컴퓨터 시작과 함께 자동으로 활동을 개시하도록 자신을 설정하며, PC에 설치된 안티 바이러스 SW의 탐지를 피한다. 또 해커 쪽으로 원격 연결하고 통제에 대기하며 악성 프로그램을 컴퓨터에 내려 받아 실행시킨다.


이 때문에 컴퓨터가 해커에 의해 제어되고, 사용자의 여러 인터넷 사이트 계정과 비밀번호, 민감한 정보들이 유출되는 위험이 발생한다. 루이싱은 ‘Backdoor.Win32.Mydoom.d’ 바이러스에 대한 경계 정도로 별 다섯 중 네 개를 매겼다.

날짜별로 중국에서 PC 사용자들에게 피해를 입힌 대표적인 바이러스를 살펴보면, 16일에는 ‘Trojan.Win32.Buzus.fyu’가 꼽혔다. 루이싱이 보안 시스템을 통해 연인원 2만8,542명으로부터 신고를 받았다. 이 바이러스는 감염 PC의 C디스크 루트(root) 디렉터리 아래 하나의 감염 소스를 투입하고, PC 내 안티바이러스 SW를 강제로 닫는다. 이어 하드디스크를 검사하고 로컬 디스크 안의 exe, html, asp, aspx, rar 파일을 감염시킨다. 최종적으로 전체 인트라넷 안의 다른 PC들을 감염시키고 다른 바이러스들을 내려 받는다.

이어 17일에는 대표적으로 ‘Win32.Ramnit.k’가 중국에서 누리꾼들을 공격했다. 연 2만4,793명이 신고한 이 감염형 바이러스는 은폐 방식을 통해 컴퓨터 내 브라우저를 빌어 실행되고 전파된다. 감염 PC 안의 exe, dll 및 스크립트 파일을 감염시킨다. PC 사용자가 이들 감염 파일을 실행할 때, 바이러스는 자동으로 대량의 트로이목마를 PC에 내려 받는다. 이어 계정과 비밀번호를 훔치고, PC의 백도어를 열어 놓음으로써, PC가 해커의 수중에 놓이게 만든다.

지난 18일에는 ‘Trojan.Win32.Mnless.dyr’가 크게 번졌다. 연 2만6,731명이 신고한 이 바이러스는 파일 폴더 아이콘으로 위장해 PC 사용자를 속인다. 이어 레지스트리를 수정하고 컴퓨터 시작과 함께 자동으로 활동으로 개시하도록 설정한다. 또 시스템 디렉터리에 자신을 복제하고 시스템 파일로 위장한 다음, 레지스트와 CMD 사용을 금지시킨다. 파일 확장명을 숨기고, 도구 란 중 파일 폴더 선택항을 은폐한다. 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 다른 악성 프로그램을 내려 받는다. 이 때문에 PC 사용자는 민감한 중요한 정보 유출, 인터넷 사이트 계정∙비밀번호 도난, PC내 대량 바이러스 투입 따위의 위험에 놓이게 된다.

19일 중국에서 널리 퍼진 대표적인 바이러스는 ‘Backdoor.Win32.Depyot.a’. 연 2만3,769명이 신고한 이 백도어 바이러스는 백그라운드에서 PC를 트로이목마가 삽입된 웹주소에 연결시킨다. 레지스트리를 수정해 컴퓨터 시작과 함께 자동으로 활동을 시작한다. 동시에 비밀번호를 풀어 원격 통제 프로그램 ‘PoisonIvy RAT’를 얻고, 원격으로 PC를 해커가 지정한 웹주소에 연결시킨다. 감염 PC는 원격으로 통제되며, 해커는 PC 하드 디스크 안의 데이터들에 접근하고, 카메라를 포함한 PC 외장 기기들을 제어한다. 이로 인해 PC 사용자의 개인 파일과 비밀 정도들은 유출될 수 있다.

주말이 포함된 20~22일에는 ‘Trojan.Script.BAT.StartPage.fp’가 활개를 쳤다. 이 바이러스는 PC 바탕화면에 원래의 인터넷 익스플로러(IE) 아이콘과 완전히 똑 같은 아이콘을 만든다. PC 사용자가 이 가짜 IE 아이콘을 열면, 해커가 지정한 웹사이트로 이어진다. 이 바이러스는 또 브라우저의 검색 엔진과 여러 브라우저 S/W들을 제어함으로써, 웹사이트 클릭률 제고의 목적을 이룬다. 또 백그라운드에서 맬웨어를 PC에 내려 받아 설치한다. 연인원 6만8,722명이 신고했다.

中 11월 16일~22일 피싱 사이트 발생 동향
루이싱은 지난 한주 동안 보안 시스템을 써서 중국 내에서 1만1,018개의 피싱 사이트를 탐지했다고 밝혔다. 한 주 전보다 1,000여 개 감소했다. 지난 주 피싱 사이트의 공격을 받은 중국 누리꾼은 한 주 전보다 2만 명 줄어든 6만 명이었다. 날짜별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 지난 16일에는 연인원 9,840명, 17일 8,519명, 18일 8,846명, 19일 1만639명, 주말이 들었던 20일~22일 사이에는 연 2만4,772명에 달했다.

루이싱이 찾아낸 피싱 웹주소는 16일 2,058개, 17일 1,723개, 18일 1,644개, 19일 2,087개, 20일~22일 5,603개였다. 지난 주 중국에서는 페이스북(Facebook)으로 위장한 http://www.fbsniffing.com/Facebook.htm, 텐센트(Tencent)를 사칭한 http://www.dnf666.com/, 온라인 구매(쇼핑)을 가장한 http://www.sjdm.net/ 등이 누리꾼의 인터넷 뱅킹 계정∙비밀번호와 개인 정보들을 훔쳤다.

날짜별로 중국에서 기승을 부린 피싱 사이트 ‘톱5’를 보면, 16일에는 △외국의 유명 온라인 금전 결제 사이트 페이팔(Paypal)을 가장한 http://ovsbt.org.rs/ppl/login.php (사용자를 속이고 전자우편함 계정과 비밀번호 훔침) △텐센트로 위장한 www.dnf694.com/ (허위 S/W 정보로 사용자의 계정과 비밀번호 편취) △가짜 온라인 구매류 www.jjzl.com.cn/ (허위 구매 정보로 사용자를 속이고 사용자의 금전 훔침) △중국건설은행을 사칭한 http://ccb.hebeiyd.com/index.asp (사용자를 속이고 카드 번호와 비밀번호 빼냄) △페이스북으로 위장한 www.fathomitsupport.com/facebook-login/ (사용자의 계정과 비밀번호 편취) 순으로 꼽혔다.

이어 17일 피싱 사이트 톱5는 △페이팔을 가장한 https://de.m.wikipedia.org/wiki/PayPal △텐센트로 위장한 www.3456cf.com/ △중국이동통신(China Mobile)을 가장한 http://gjn10086.com/ (허위 적립포이트 현금 교환 정보로 사용자를 속이고 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 www.ccbale.com/index.asp △지메일(Gmail) 전자우편함을 가장한 http://binhtri.com/menu_css/NGdocs/Login.html (사용자를 속이고 전자우편함 계정과 비밀번호 훔침) 등 차례였다.

지난 18일에는 △페이스북으로 위장한 http://708952818751.gqaq.haberko.com/fit.html △허위 온라인 구매류 http://h1n6.com/ △중국이동통신을 사칭한 www.ccbsha.com/ △중국건설은행을 사칭한 www.ccbami.com/index.asp △지메일 전자우편함으로 위장한 http://n7300.no/language/allbrheight/index.html 순으로 피싱 사이트 톱에 지목됐다.

19일 피싱 사이트 톱5는 △페이팔을 가장한 www.bluermes.it/PayPal.html △텐센트로 위장한 www.shuawuying.com/ △중국이동통신을 사칭한 http://10086mu.cc/ △중국건설은행을 사칭한 www.hurhg.com/index.asp △지메일 전자우편함을 가장한 www.alpaktemizlik.com/danisma/Mine/ 등이 꼽혔다.

주말이 포함된 20~22일 사흘 동안에는 △페이팔을 가장한 http://srindependent.co.uk/ △허위 온라인 구매류 www.sjdm.net △중국이동통신을 가장한 http://dyh10086.com/ △중국건설은행을 사칭한 www.ccbakf.com/index.asp △페이스북 전자우편함으로 위장한 http://facebook.secrue.com/ 순으로 피싱 사이트 톱5에 들었다.

한편, 루이싱의 보안 시스템이 찾아낸 트로이목마 삽입 웹주소는 지난 16일 3,212개, 17일 2968개, 18일 3,074개, 19일 3,253개, 주말이 든 20일~22일 사흘 동안 8,085개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 16일 연인원 8,956명, 17일 9,698명, 18일 8,898명, 19일 9,519명, 20일~22일에 연 2만4,772명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>