中 누리꾼 4만명 피싱 사이트 공격 받아

[보안뉴스 온기홍= 중국 베이징] 중국에서 3월 말과 4월 초로 이어진 한 주(3월 28일~4월 4일) 동안 매일 9시 활동을 하면서 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시킴으로써 네트워크 트래픽을 대량 점용하고 시스템을 느려지게 하는 새 웜(worm) 바이러스가 PC 사용자들을 공격한 것으로 드러났다. 이 기간 중국 정보보안업체는 국내에서 약 9,200개의 피싱 사이트를 찾아냈으며, 중국 내 누리꾼 4만 명이 피싱 사이트의 공격을 받은 것으로 밝혀졌다.

中 3월 28일~4월 4일 주요 PC 바이러스 동향
중국 정보보안 솔루션회사인 루이싱정보기술은 3월 28일~4월 4일 ‘클라우드 보안 시스템’을 써서 중국 내 PC 사용자들로부터 접수한 신고 건수 등을 바탕으로 주요 바이러스들을 뽑아 공개했다. 이 기간 정보보안 업계와 누리꾼의 주목을 받은 대표적인 바이러스에는 ‘Worm.AutoIt.b‘가 꼽혔다.

이 웜 바이러스는 컴퓨터 시스템 디렉터리 아래 자신의 복사본 ‘C:\WINDOWS\system32\RVHOST.exe. C:\WINDOWS\RVHOST.exe’를 투입한다. 레지스트리도 수정해 컴퓨터 부팅과 함께 자동으로 활동을 개시한다. 장치관리자를 쓰지 못하게 하고 레지스트리 이용을 금지시킨다. 매일 9시에 활동을 하고 백그라운드에서 PC를 해커가 지정한 곳에 연결시킨다고 루이싱은 밝혔다.


이 때문에 네트워크 트래픽이 대량 점용되고 시스템 운행이 느려지는 문제가 일어나며, 심할 경우 시스템 마비까지 일어날 수 있다. 이 업체는 ‘Worm.AutoIt.b’ 바이러스에 대한 경계 등급으로 별 다섯 개 가운데 세 개를 매겼다.

날짜 별로 중국 내 PC 사용자들에게 피해를 입힌 대표적인 바이러스들을 보면, 먼저 3월 28일에는 ‘Trojan.Win32.BHO.gdz’가 꼽혔다. 루이싱정보기술이 ‘클라우드 보안 시스템’을 써서 연인원 2만5,778명으로부터 신고를 받았다. 이 바이러스는 PC에 설치된 유명 안티바이러스 S/W를 찾아내어 실행을 중지시킨다.

또 레지스트리를 수정해 컴퓨터 부팅과 함께 자동으로 활동을 시작한다. 이어 백그라운드에서 PC를 해커가 지정한 웹주소에 연결시키고 악성 웹주소를 위해 트래픽을 늘리게 하면서 네트워크 자원을 대량 점용하며 네트워크가 막히는 현상이 나타날 수 있다고 이 회사는 설명했다.

지난 29일 중국을 휩쓴 백도어 바이러스 ‘Backdoor.Win32.Rbot.gcy’(연 2만2,879명 신고), 30일 크게 번진 ‘Backdoor.Win32.Rbot.gcy’(연 2만3,380명 신고), 3월 마지막 날인 31일 대표적인 바이러스에 꼽힌 ‘Trojan.Win32.VBCode.fio’(연 2만2,5774명 신고), 주말 휴일이 들었던 4월 1일~4일 널리 퍼진 웜 바이러스 ‘Worm.Mail.NetSky.lk’(연 2만8,799명 신고) 등도 28일의 대표적인 바이러스 ‘Trojan.Win32.BHO.gdz’와 같은 악성 활동을 하면서 누리꾼을 공격했다.

일간 대표적인 바이러스 유형을 보면, 트로이목마류가 3개, 백도어류 2개, 웜 바이러스 1개였다. 이 가운데 ‘Backdoor.Win32.Rbot.gcy’는 3월 29일과 30일 이틀 동안 연속 중국 전역에서 널리 퍼져 PC 사용자들을 공격한 것으로 드러났다.

中 4월 첫째 주 누리꾼 4만 명 피싱 사이트 공격 받아
루이싱은 3월 28일~4월 4일 보안 시스템을 써서 중국에서 9,180개의 피싱 사이트들을 탐지했다고 밝혔다. 한 주 전보다 1,612개 늘었다. 피싱 사이트의 공격을 받은 중국 누리꾼 수는 4만 명으로 전주와 비슷했다.

날짜별로 피싱 사이트의 공격을 겪은 중국 누리꾼 수를 보면, 3월 28일에는 연인원 5,755명, 29일 5,970명, 30일 6,608명, 31일에는 5,109명, 주말 휴일이 들었던 4월 1일~4일 나흘 동안에는 연인원 1만9,663명에 달했다. 루이싱이 탐지한 피싱 웹주소는 3월 28일 1,795개, 29일 1,681개, 30일 1,681개, 31일 1,675개, 4월 1일~4일 나흘 동안에는 5,100개였다.

이런 가운데 페이스북(Facebook) 이메일을 가장한 http://fclips.com/ △가짜 온라인 구매(쇼핑)류 http://jfshouji.com/ △중국건설은행을 사칭한 http://m.cbcpkl.com/ccb.asp 등의 피싱 사이트들이 누리꾼들의 전자우편 및 인터넷 뱅킹의 계정∙비밀번호와 개인정보들을 훔친 것으로 드러났다.


날짜별로 중국에서 누리꾼들에게 피해를 끼친 피싱 사이트 ‘톱5’를 보면, 3월 28일에는 △가짜 Facebook 메일류 http://chf15.pw/ (사용자 메일 계정과 비밀번호 훔침) △중국이동통신(China Mobile)으로 위장한 http://10086dhjf.com/ (적립금의 현금 교환을 미끼로 카드 번호와 비밀번호 빼냄) △중국건설은행을 사칭한 http://118.193.132.230/ (카드 번호와 비밀번호 편취) △텅쉰(Tencent) 사이트를 가장한 http://www.qq-shuazan.com/ (허위 S/W 정보로 사용자 계정과 비밀번호 훔침) △지메일(Gmail) 전자우편으로 위장한 http://pendrives.com.ar/img/Dr0pb0x_1_0/ (메일 계정과 비밀번호 편취) 순이었다.

이어 29일 누리꾼들을 많이 괴롭힌 피싱 사이트는 △페이팔(Paypal) 전자우편을 가장한 http://www.sochid.ma/~verysign/ (메일 계정과 비밀번호 편취) △중국이동통신으로 위장한 http://l0086jtfx.com/wapx.asp △중국건설은행을 사칭한 http://etopsmt.cn/ △가짜 텅쉰 사이트류 http://www.wg9669.com/ △가짜 Gmail 전자우편류 http://tabsmobile.mobi/.dropbox/dropbox/ 등 차례였다.

지난 30일에는 △Facebook 전자우편을 가장한 http://sinopsisantv.work/ △중국이동통신으로 위장한 http://l0086iso.com/ △중국건설은행을 사칭한 http://103.39.78.251/ △Paypal 메일을 가장한 http://www.sbvoyages.ma/~verysign/ △가짜 Gmail 전자우편류 http://stallingspainthorses.com/rola/ 등이 누리꾼들을 함정에 빠뜨렸다.

31일 중국 누리꾼들을 속인 대표적인 피싱 사이트들은 △가짜 Paypal 전자우편류 http://chesapeakecic.org/paypal/validation/ △텅쉰의 온라인 게임으로 위장한 http://dnf159.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀번호 빼냄) △중국건설은행을 사칭한 http://wep.cbctaq.com (카드 번호와 비밀번호 훔침) △허위 Facebook 전자우편류 http://www.falsebook.info/ △가짜 Gmail 전자우편류 http://www.boligrafospromocion.com.ar/listas/839DB3/ 순이었다.

주말 휴일이 끼었던 4월 1일~4일 나흘 동안 피싱 사이트 톱5는 △Facebook 전자우편을 가장한 www.falsebook.info/ △텅쉰의 온라인 게임으로 위장한 www.5283dnf.com/ △중국건설은행을 사칭한 http://wnp.cscuag.com/ △허위 Paypal 전자우편류 http://imc-retail.com/update/paypal.html △Gmail 전자우편류 http://giordanovega.com.ar/7641GHEJA/ 등 차례였다.

이 기간 루이싱의 보안 시스템이 탐지한 트로이목마 투입 웹주소는 3월 28일 1,603개, 29일 1,697개, 30일 2,567개, 31일 2,497개, 4월 첫 번째 주말 휴일이 포함된 1일~4일 나흘 동안 4,162개였다. 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼은 3월 28일 연인원 3,439명, 29일 연 5,096명, 30일 4,939명, 31일 5,013명, 4월 1일~4일 나흘 간 연 1만3,663명이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>