포털 네이버 검색 서비스를 이용해 특정 웹 사이트를 접속하는 과정에서 네이버 로그인 페이지로 구성된 피싱(Phishing) 사이트로 자동 연결되는 사례가 추가적으로 발견돼 이용자들의 각별한 주의가 요구된다.
 
보안블로그 ‘울지않는 벌새’는 “이미 2014년 5월경부터 지속적으로 해킹을 통해 웹 사이트 접속시 피싱 사이트로 연결되어 네이버 계정 정보를 수집하는 사례가 보고되고 있다”며 “이번에 확인된 게임 정보 사이트는 다음(Daum) 검색에서는 노출되고 있지만 네이버(Naver) 검색에서는 직접적으로 노출되지 않는 것으로 확인되고 있다. 네이버 측에서 1차적으로 인지해 검색에 노출되지 않도록 조치를 한 것으로 추정된다”고 밝혔다.

 
해당 블로그에 따르면, 이번 역시 피싱 사이트로 연결되기 위한 조건으로는 반드시 네이버 검색 결과를 통해 게임 정보 사이트로 접속이 이루어지는 과정에서 발생한다.
 
게임 정보 사이트로 연결되는 과정에서 공격자가 추가한 스크립트 값을 통해 "nenene=" 쿠키값을 포함하고 있을 경우 특정 스크립트로 연결되도록 되어 있다는 것.
 
연결된 스크립트에서는 네이버 검색을 통해 연결되었는지 리퍼러(Referrer)를 체크한 후 네이버 로그인 피싱 페이지로 연결을 시도한다.  
 
최종적으로 연결된 네이버 로그인 페이지는 매우 정교하게 제작되어 있으며, 사용자가 웹 브라우저의 주소 표시줄에 표시된 URL 주소를 통해 구분이 가능하다.

 
참고로 정상적인 네이버 로그인 페이지 URL 주소는 "nid.naver.com" 값을 가지고 있으므로 혼동하지 않도록 해야 한다.
 
만약 사용자가 네이버 로그인 페이지에 아이디(ID), 비밀번호를 입력해 로그인을 시도할 경우에는 해당 게임 정보 사이트 내로 정보가 전송되어 수집이 이루어지고 있어 주의해야 한다.
 
로그인이 이루어진 후에는 자동으로 게임 정보 사이트로 자동 연결되도록 스크립트 값을 구성되어 있다.
 
울지않는 벌새는 “네이버 계정 탈취 방식의 핵심은 네이버 검색을 통해 외부 사이트로 접속 과정에서 네이버 로그인 페이지를 표시해 정보를 수집하므로 사용자가 조금만 주의를 기울이시면 피해를 당하지 않을 수 있다”며 “수집된 네이버 계정 정보는 불법 홍보를 목적으로 한 계정 판매에 이용될 수 있다. 이런 경우 즉시 네이버 비밀번호를 변경해 2차 피해를 당하지 않도록 주의해야 한다”고 권고했다.  
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com