2024-03-29 05:10 (금)
포털까지 가짜사이트로 조작…피싱공격 주의!
상태바
포털까지 가짜사이트로 조작…피싱공격 주의!
  • 길민권
  • 승인 2013.06.02 22:20
이 기사를 공유합니다

포털사이트에 접속해도 피싱사이트로 자동 접속…금융정보 탈취 목적
사이버공격자들이 최근 국내 주요 포털 사이트들의 도메인을 호스트파일에 포함시켜 이용자가 주요 포털 사이트에 접근하더라도 피싱 사이트로 변경되도록 조작하는 새로운 공격 방법을 시도하고 있는 것이 확인돼 이용자들의 각별한 주의가 요구된다.

 
잉카인터넷 대응팀 관계자는 “그동안 보고되었던 악성파일들은 대체로 주요 금융사이트나 보안업체들을 상대로 호스트파일을 변조해 가짜 금융사이트로 접속을 유도하거나 보안프로그램의 업데이트를 방해하기 위한 시도 등으로 악용되었다”며 “최근에는 범죄자들이 많은 이용자들이 접속하는 포털 사이트를 가짜 사이트로 조작하거나 허위 메시지 창을 보여주고 있어 위험성이 더욱 증가하고 있다”고 주의를 당부했다.
 
또 그는 “일부 확인된 바에 의하면 포털 사이트 접속시 ‘금융감독원 보안관련 인증절차 내용처럼 위장한 가짜 팝업창’이 뜨고, 접근시 개인금융정보를 입력하게 유도한다. 따라서 악성파일에 감염된 사용자는 포털 사이트 접근만으로 인터넷 뱅킹용 피싱 사이트로 접근할 확률이 높아지게 돼 공격자는 시간적인 부분에서 많은 효과를 거둘 수 있게 된다”고 설명했다.
 
이 기업 문종현 팀장은 “국내 웹 사이트를 통해서 전파 중인 악성파일 중에 인터넷 뱅킹 이용자들을 노린 형태가 수시로 발견될 정도로 공격자들이 유포에 집중하고 있다”며 “사이버 범죄자들은 인터넷 뱅킹용 악성파일(KRBanker)과 피싱/파밍 사이트를 통해서 예금자의 중요 금융정보를 훔쳐내고 불법적인 과정을 거쳐 악성파일에 감염된 이용자들의 예금인출 범행 시도로 이어지고 있는 상황”이라고 경고했다.
 
아래 화면은 국내 인터넷 뱅킹용 악성파일(KRBanker)이 정상적인 금융사이트로 접속시 가짜 피싱사이트로 연결되도록 조작하기 위해서 변경한 호스트파일(hosts)의 화면이다. 국내 대표 포털 사이트 등이 포함된 것을 볼 수 있다.

 
특히 악성파일은 피싱용 IP주소 등이 차단될 경우를 대비해서 특정 웹 사이트에 등록된 정보를 통해서 실시간으로 새로운 정보를 수신하도록 만들어져 있다. 이른바 명령제어(C&C) 서버이고, 공격자는 언제든지 새로운 피싱 IP주소를 악성파일에 감염된 사용자에게 전송할 수 있게 된다.
 
문 팀장은 “이번에 발견된 악성파일은 호스트파일의 액세스 제어를 하게 되는데, 배치파일 명령을 통해서 ACL(Access Control List) 설정을 한다. 이 과정을 통해서 모든 사용자에게 모든 권한을 부여한 후, 파일속성을 읽기전용, 보관파일, 시스템 파일, 숨김특성으로 설정해 폴더옵션에 따라서 보이지 않도록 숨긴다”며 “또한 프로세스 종료 명령인 TASKKILL 을 통해서 conime.exe 파일을 강제종료하는 과정에서 cmd.exe 명령어 작업이 중지되지 않고 계속 진행되며, 호스트파일은 실시간으로 삭제하고 생성하는 작업을 반복한다. 이때문에 시스템 리소스가 높아지고, 컴퓨터와 인터넷 속도가 현저하게 느려지는 감염피해가 발생하게 된다”고 설명했다.
 
이에 문 팀장은 “내가 접속한 곳이 실제 정상적인 금융사이트인지, 아니면 모방 사칭된 금융 피싱사이트인지 판가름하기 어려울 정도로 최근의 피싱사이트들은 매우 정교화되고 디자인도 한글을 포함해서 다양한 방식으로 고급화되고 있는 추세이다. 여기서 이용자들이 무엇보다 주목해야 할 부분은 바로 사이버 범죄자들이 노리는 공통점이 무엇일까라는 점이다. 그들은 사용자들의 개인 금융정보 탈취를 통해서 예금을 불법 인출하기 위한 목적을 가지고 있다”며 “따라서 과도하게 금융정보를 요구하는 웹 사이트가 있다거나 절대 공개되어서는 안되는 보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트라는 점을 기억하고 있다면 유사한 금융 보안위협을 능동적으로 대처할 수 있을 것”이라고 조언했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★