축제 시즌 여행·숙박 사이트서 악성코드 유포...파밍용 악성코드와 피싱도 기승

[보안뉴스 김경애] 전국 각 지역에서 벚꽃 축제 등 다양한 축제로 여행객들이 늘고 있다. 이러한 가운데 이러한 시즌을 노린 사이버공격이 예사롭지 않다. 여행, 숙박, 쇼핑분야 사이트곳곳에서 악성코드 유포 행위가 줄줄이 포착됐기 때문이다. 금융정보와 개인정보 탈취를 노린 파밍용 악성코드와 피싱 사이트도 잇따라 발견돼 이용자들의 주의가 요구된다.

1. XXXX파크, 악성코드 유포

1일에는 강원도 속초시에 위치한 특정 숙박 홈페이지에서 악성코드가 유포됐다. 이에 대해 제로서트 측은 “유포된 악성코드는 비트코인 채굴형 악성코드로 확인됐다”며 “봄 축제 시즌에 맞춰 숙박, 여행 사이트를 노린 공격이 기승을 부리고 있는 만큼 웹사이트 관리자와 이용자들의 주의가 필요하다”고 당부했다.

2. XX경제연구원, 파밍 악성코드 발견
이보다 앞서 XX경제연구원 사이트에서는 파밍용 악성코드가 발견됐다. 지난 29일 이를 본지에 제보한 메가톤은 “SSH, FTP 권한 탈취가 우려된다“며 “모니터링을 피하기 위해 공격자가 자바스크립트에 악성코드 삽입한 것으로 보인다”고 분석했다.


이에 대해 제로서트 측은 “해당 사이트는 악성코드 경유지로 파밍용 악성코드를 다운로드 받으며, 악성코드 유포지로 연결된다”고 밝혔다.

3. 알리바바 사칭 피싱 사이트

알리바바를 사칭한 피싱 사이트도 발견됐다. 지난 28일 이를 제보한 메가톤은 “개인정보를 노린 피싱 사이트가 불특정 다수를 노리고 있다”고 설명했다.

4. XXXX부 사이버어학센터, 악성코드 경유지로 악용
지난 22일에는 XXXX부 사이버어학센터와 XX도 평생학습 배움터 홈런 사이트에서 제공하는 동영상 강의가 악성코드 경유지로 악용됐다. 제공된 동영상 강의는 사이버어학센터와 연관된 드러났다.


이와 관련 한 보안전문가는 “일본어, 중국어 강의를 사용자가 시청하면 NB_VIP 난독화 스크립트를 통해서 악성파일을 다운받게 된다”며 “악성코드 유포지인 쇼핑몰 사이트 2곳으로 연결된다”고 밝혔다. 해당 사이트는 정부 산하 사이트로 공무원 등의 사용자가 피해를 입을 것으로 보인다며 악성코드 유포지 사이트는 몇 달 전 파밍용 악성코드 등이 올라간 사이트로 악성파일을 다운받게 되는 것으로 분석됐다.

5. XXX택배 사이트, 파밍용 악성코드 발견
지난 20일에는 XXX택배 사이트에서 악성링크가 발견됐다. 이에 대해 빛스캔 측은 “XXX택배에 삽입된 악성링크는 CK 익스플로잇 킷(Exploit Kit)으로 연결되고, MAC 주소와 함께 금융정보를 탈취하는 파밍용 악성코드로 확인됐다”며 “배송조회 등을 위해 방문한 고객이 영향을 받았으며, 악성링크가 반복해서 삽입이 되고 있다”고 지적했다.


특히, 카운터 링크가 자주 발견되고 있다고 우려했다. 이는 공격자가 해당 사이트에 대한 트래픽 정보를 얻고 최적의 타이밍에 악성코드를 유포하기 위한 첫 단계로 택배 사이트의 경우 이용자가 많은 만큼 보안을 강화해야 한다는 게 빛스캔 측의 설명이다.


한편, 국가정보원의 사이버위기경보 단계와 인터넷침해사고 경보 단계는 1일 기준으로 여전히 주의를 유지하고 있다. 사이버 위협의 경우 악성코드 발견 홈페이지는 173개, 피싱과 파밍 차단 사이트가 13개로 각각 전날보다 증가했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>