최근 이슈가 되고 있는 “게임계정 탈취, 개인정보 탈취, 파밍, 스미싱” 등의 용어를 탄생시킨 악성파일. 정부 및 유관 기관에서는 이메일이나 출처가 불분명한 파일을 통해 감염된다고 알리고 있다.
 
이에 대해 빛스캔 관계자는 “현재 발생하고 있는 파밍의 주요한 감염 경로는 이메일이나 파일이 아닌 바로 웹사이트를 통한 자동 감염이라고 추정된다”며 “이 모든 원인은 매주 일상적으로 반복되고 있는 취약한 웹 사이트들에 있다. 웹 사이트 내에 삽입된 악성링크 한 줄로 인해 대량으로 뿌려지며 사용자도 모르게 Drive-by-download를 통해 다양한 기능을 가진 악성파일이 방문자 PC를 감염시킨다. 공격자의 의도대로 개인정보, 금융정보를 탈취할 수 있는 파밍 사이트로 이어질 가능성이 크다”고 분석했다.   
 
공격자들은 기존에 게임사이트나 사이버머니 등을 통해 수익을 얻어 왔지만, 최근에는 수익 모델을 금융 쪽으로 전략적으로 바꾸고 있는 상황이라는 것.
 
미스터피자 웹 사이트 사례를 보면, 공격자는 탐지 및 백신을 우회하기 위해서 60여 차례(2011년9월~ 2013년2월28일 현재까지, 평균 월 3회 이상) 악성링크를 변경하며 공격하고 웹 사이트를 방문하는 사람들의 PC에 감염을 통해 악성행위를 했을 것으로 PCDS(Pre-Crime Detect Satellite)를 통해서 분석해본 결과 추정할 수 있다.

 
지난해 11월에도 3번에 걸쳐서 기사화를 통해 문제의 심각성을 알렸지만, 여전히 공격자는 악성링크 유포지로 활용하고 있다.
 
심각성을 알렸음에도 불구하고, 공격자의 악성파일을 유포하는 사이트로 활용된다는 점은 심각하다. 최근 미스터피자 웹 사이트 내 악성링크에서 내려오는 악성코드는 Java(6종)+IE(1종)+flash(1종) 8개의 취약성(CVE-3544-0507-1723-4681-5076-1889-0442-0634)을 사용한 것으로 분석됐다.
 
빛스캔 관계자는 “미스터피자 웹 사이트는 현재 이슈화 되고 있는 파밍 기능의 악성파일을 뿌리고 있는 진앙지로 매우 심각하며 방문했던 사용자들의 PC를 감염시킬 수 있는 경로로 사용된 정황이 PCDS에 수십 차례에 걸쳐서 포착됐다”며 “너무나 다양한 악성링크 및 다양한 기능의 악성파일이 난무했지만 웹 사이트는 매번 무방비로 방치되고 있어 심각성을 알릴 필요성이 있다”고 밝혔다.
 
또 “이러한 문제점을 해결하기 위해서는 각 기관들과 공동으로 협력해 유포범위를 축소하고 사전에 차단함으로써 2차 피해확산을 줄일 수 있을 것”이라며 “파밍은 이슈일 뿐이고, 언제든 다른 이슈로 변화할 수 있다. 관계 기관과 힘을 모아 공격자의 전략을 뿌리 뽑아야 할 것”이라고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com