2013년에도 공인인증서 갈취 흔적 드러나 \r\n
한국인이 사용하는 비번 패턴 사용
\r\n
온 국민의 관심이 ‘세월호 침몰 사건’에 쏠린 가운데 이를 악용한 스미싱이 등장해 국민들의 분노가 거세지고 있다.
\r\n\r\n세월호 내 실종자가 한 명이라도 무사귀환하길 바라는 마음을 노린 것이다. 이 가운데 세월호 침몰 사건을 악용해 스미싱 문자메시지를 보낸 일당이 한국인이라는 주장이 제기됐다.
\r\n
\r\n
\r\n\r\n\r\n\r\n| \r\n 
|
\r\n\r\n| \r\n ▲ 2013년도에도 해당 C&C서버가 사용자들의 공인인증서를 탈취한 정황 포착 |
해킹보안업체 Pwn&Play 장기려 대표는 “17일부터 ‘*실시간속보세월호침몰 사망자 25명 늘어 더보기’, ‘[연합뉴스] 여객선 (세월호) 침몰사고 구조현황 동영상’ 등의 내용으로 스미싱 문자메시지가 발송되고 있다”며, “이 중 ‘*실시간속보세월호침몰 사망자 25명 늘어 더보기’라는 내용으로 스미싱 메시지를 유포한 홍콩과 일본 C&C 서버를 추적한 결과 한국인일 가능성이 높다는 것이 밝혀졌다”고 전했다.
\r\n
Pwn&Play 분석에 따르면 스미싱 문자에 담긴 URL 주소와 홍콩의 C&C 서버 주소는 다음과 같다.
\r\n
[단축 URL ] http://goo.gl/j****4
\r\n[실제 URL] https://app.box.com/s/fw************wc
\r\n[C&C Host Name] http://218.***.***.69/
\r\n[File Name] 구조현황.apk
우선 홍콩에 위치한 서버의 경우 apk를 분석해 C&C 서버를 찾아냈지만, 현재는 서버가 내려가 있어 IP 주소만 확인했다는 것이 장 대표의 설명이다. 이와 관련해 우리나라 경찰청과 홍콩 경찰청이 긴밀하게 협력하면서 수사가 급진전되고 있는 것으로 알려졌다.
\r\n
또한, 일본에 위치한 서버의 경우 C&C 서버를 찾아내고, 추가 C&C 서버를 발견했다는 것. C&C서버 내에서 관리자 세션을 찾아냈는데, 관리자의 비밀번호가 한국인이나 한국어를 사용하는 사람만 쓰는 한글 형식으로 설정돼 있어 한국인으로 추정된다는 설명이다.
관리자가 사용한 비밀번호를 평문으로 확인했더니 ‘rktlsk55’ 였는데, 이는 키보드 자판을 영문으로 설정한 후, 우리나라 사투리인 ‘가시나’와 숫자 55를 결합해서 만든 것이기 때문이다.
\r\n
\r\n\r\n\r\n\r\n| \r\n 
|
\r\n\r\n| \r\n ▲ 스미싱 당한 사용자들의 문자내용이 실시간으로 확인되는 모습 |
또한 장 대표는 “이번에 유포된 스미싱 문자를 클릭하면, 공인인증서, 연락처, 사진 외에도 문자 실시간 감시와 다양한 뱅킹정보를 갈취하는 것으로 파악됐다”며, “2013년에도 이 서버에서 사용자들의 공인인증서와 문자메시지를 갈취한 흔적을 발견했다”고 밝혔다.
특히 농협·신한·하나·우리·KB국민은행의 뱅킹앱이 설치된 사용자에게는 새로운 업데이트가 있으니 최신버전을 다운받으라는 알림과 함께 악의적인 금융 앱을 설치해 하게끔 유도한 후, 이름, 휴대폰 번호, 사용하고 있는 은행, 은행카드번호, 은행비밀번호, 보안카드, 은행 ID, 은행 비밀번호, 인증서암호 등을 갈취하는 것으로 분석됐다.
\r\n
\r\n
덧붙여 그는 “최근 주요 이슈를 악용한 스미싱은 물론 개인정보 유출 등 해킹사고가 지속적으로 일어나고 있다”며, “윤리의식을 갖춘 많은 보안전문가들이 이러한 보안사고 분석 및 해결에 적극 참여할 수 있는 방안을 강구했으면 좋겠다”는 바램을 피력했다.
최근 여객선 세월호 침몰사고를 비롯해서 국가적인 이슈를 악용한 스미싱이 극성을 부리고 있다. 이에 사용자들은 URL이 포함된 문자는 가급적 클릭하지 말고 삭제하는 것이 바람직하며, 한국인터넷진흥원(국번없이 118) 등에 신고해 조치방법등을 안내받으면 된다.
\r\n
[김지언 기자(boan4@boannews.com)]
\r\n
\r\n
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
