12월 17일, 페이스북 계정을 탈취하기 위한 피싱 사이트가 국내 e-스포츠 관련 인터넷 매체 웹사이트에 삽입돼 이용된 정황이 포착됐다. 피싱 공격은 정상 사이트와 유사하게 만든 가짜 페이지를 이용해 사용자의 개인정보를 훔치거나 악성코드를 유포하는 공격이다.
 
빛스캔(대표 문일준) 측은, 기존에는 네이버 로그온 창을 본떠 만들어 네이버 접속 정보를 빼내는 사례가 많았지만, 이번 경우에는 해외 유명 SNS 계정 정보를 노린다는 점에서 새로운 공격 시도로 보인다”며 “페이스북은 국내에서도 많은 사용자가 이용하기 때문에 그 피해 또한 늘어날 것으로 예상된다”고 전했다.

 
페이스북 계정을 탈취하기 위한 피싱사이트를 자세히 살펴보면, 특정사이트에서 페이스북 계정을 통해 로그인을 하는 것처럼 위장했다. 실제로 로그인을 하는 소스를 살펴보면 페이스북에서 제공하는 일부 API를 사용했다. 실제 제공하는 API를 사용하면서 사용자의 페이스북 계정을 탈취 할 수 있었던 이유는 바로 로그인 하는 부분을 공격자가 사전에 미리 준비해 놓은 서버로 정보가 전송하도록 수정했기 때문이다. 이는 공격자가 소스에 대한 파악을 하고 있다는 증거이기도 하다.
.
빛스캔 측은, 실제로 해당 사이트에서 테스트를 해본 결과 입력한 계정이 공격자가 마련해둔 다른 서버로 전송이 되는 것을 와이어샤크 패킷을 통해 확인했으며, 입력 이후에는 원래 악성링크가 삽입되어 있던 특정 사이트로 연결을 시켜 실제 로그인 된 것처럼 위장하기 위한 치밀한 모습도 보였다. 특히 페이스북의 로그인을 하는 과정에서 접속했던 쿠키를 체크하기 때문에 한번 접속했던 PC는 다시 피싱 사이트로 넘어가지 않기 때문에 사용자로서는 실제 로그인을 했다고 느낄 수 있다.
 
또 “피싱사이트는 연결시 소프트웨어의 취약점을 이용하지 않기 때문에 보안 업데이트와 관계없이 유심히 확인하지 않는 이상 일반인이 실제와 동일한 사이트를 구별하기란 쉽지 않다. 특히 악성코드같은 경우 백신이 사용자에게 도움을 주고 있지만, 피싱사이트와 같은 경우에는 이를 보호해줄 방안이 구글에서 제공하고 있는 세이프브라우징과 일부 제품을 통해서만 이루어지고 있기 때문에 더욱 심각하다”고 우려했다.
 
그 동안 피싱은 유명기관을 사칭해 메일을 발송하고 메일 본문의 인터넷 주소로 접속해 개인정보를 입력하도록 하는 방법이 주로 이용되었지만, 점차 추세가 웹을 통해서 더 많은 사용자에게 위협을 주는 수준으로 넘어가고 있다.
 
빛스캔 관계자는 “파밍과 같은 피싱 기법은 널리 알려져 있고 백신이라는 보조도구를 통해 일정부분 피해를 줄이는 역할이 가능하지만, 이번과 같은 사례는 초기에 악성링크를 탐지해 차단하지 못한다면 보호를 해줄 수 있는 여건이 한정적이기 때문에 사용자의 피해는 누적 될 수 밖에 없을 것”이라고 경고했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com