4월 2주차에는 지난주에 시작된 중간규모의 멀웨어넷(MalwareNet)의 활동지속과 함께, 의료관련 사이트 및 파일공유(P2P)에서 악성링크 삽입 활동이 활발해지면서, 신규 경유지와 파급력이 상승하는 모습을 보였다.
 
빛스캔(대표 문일준) 측은 “특히 의료관련 사이트 경우에는 악성링크 삽입이 2회에 걸쳐 발생했고, 다운로드 된 악성코드는 파밍 악성코드로 분석되었기 때문에, 지난 1월 달에 발생한 사례와 마찬가지로 의료 및 금융관련 공인인증서 유출 등 피해가 우려되고 있다”며 “그 외 지난주와 비슷하게 중소규모의 사이트에서는 악성링크가 지속적으로 삽입되어 영향을 준 결과, 예년 4월의 공격수준까지 회복한 것으로 분석되었기 때문에, 한국 인터넷 수준도 주의 단계를 계속 유지한다”고 전했다.
 
빛스캔 보고서에 따르면, 3월 중순에 자주 이용되었던 하위링크의 잦은 변경을 통한 공격기법은 점차 사라지고 있으며, 이번주부터는 본격적으로 신규 경유지를 활용하기 시작한 결과, 지난주보다 해당 수치가 크게 증가한 것으로 확인되었다. 또한 파급력 수치도 일부 영향력있는 사이트와 중소 기업에서의 악성코드 유포가 이루어지면서 증가한 것으로 파악 되었다.

 
한편 빛스캔 측은 지난 4월 5일, 국내 특정 웹사이트를 통해 유포된 악성코드를 추적한 결과 PC를 통해 업로드된 개인 금융정보 이외에도 모바일 악성앱에서 입력한 금융정보가 업로드 되어있는 관리페이지를 추가로 확인했다.
 
그동안 PC와 모바일을 각각 활용한 정황은 지속적으로 파악하고 있었지만, 이번에 발견된 경우에는 공격자가 모바일과 PC의 개인금융정보를 모두 관리하는 특이한 형태로 관찰된 것이다. 또 문자메시지를 관리하는 모듈까지 확인되었다. 더욱 우려되는 것은 문자메시지를 수시로 확인할 수 있을 뿐만 아니라, 때에 따라서 수신을 차단하는 등의 추가적인 기능을 가지고 있어 금융 또는 기타 관련된 범죄에 악용될 수 있는 것으로 확인되었다.
 
빛스캔 관계자는 “2013년에 처음 발견된 파밍 악성코드는 2015년 현재까지도 국내에서 가장 많이 사용되고 있어 각별한 주의가 필요하다”고 경고했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com