Home > 전체기사
[주간 악성링크] 악성코드 재유포 단골사이트들 다수 발견
  |  입력 : 2015-05-22 16:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중고나라 이용자 노린 인터넷 사기, 드롭박스 사칭한 피싱 등 기승

악성코드 재유포되는 단골사이트들 다수, 근본적인 원인 해결해야  

 

[보안뉴스 김경애] 최근 교육기관, 협회, 언론사, 기관 등 수많은 국내 사이트에 악성링크가 삽입되거나 공격자에 의해 각종 피싱·파밍에 악용되는 등 문제가 커지고 있다. 이번 주도 마찬가지다.

  ▲ 중고나라 사이트 이용자를 노린 가짜 안전결제 관련 화면(위)과 실제 에스크로 회사와
      동일하게 만든 거래 진행화면(아래)
(출처: 경찰청 사이버안전국)


중고나라와 드롭박스 사칭한 피싱 기승

먼저 중고나라 사이트 이용자를 노린 안전결제 피싱사이트가 발견됐다. 해당 피싱사이트는 실제 정식 안전결제 사이트와 매우 흡사하게 만들어 졌으며, 이용자의 인적사항, 연락처, 주민번호번호, 배송지 등 정보를 입력하도록 유도하고 있다. 또한 무통장입금 계좌번호, 예금주, 입금기한이 표기된 화면이 뜨면서 이용자가 입금하도록 현혹하고 있다.


이와 관련 사이버안전국은 21일 공격자는 중고나라 이용자를 대상으로 중고나라 사이트에 아이폰, 아이패드 등을 판매한다는 글을 올린 후, 카카오톡으로 가짜 피싱사이트 주소로 유도해 개인정보를 탈취하고 돈을 가로채고 있다”며 안전결제 피싱사이트를 이용한 사기 범죄가 계속되고 있어 이용자들의 각별한 주의가 필요하다”고 강조했다.

 ▲ 드롭박스(위)와 대한민국 교육 브랜드 컨설팅 그룹00연구소(아래)를 사칭한 피싱사이트
     캡처화면

지난 19일에는 드롭박스와 대한민국 교육 브랜드 컨설팅 그룹 00연구소를 사칭한 피싱사이트도 발견됐다. 해당 피싱사이트에는 이용자의 사용 이메일을 선택하도록 클릭을 유도하고 있으며, 권한 및 개인정보 탈취, 사용자 정보를 체크하는 기능을 갖춘 악성URL이 심어져 있는 것으로 분석됐다.  


이와 관련 바이러스 콜렉터 김근주 실장은 “해당 피싱사이트는 개인정보을 유출해 타 서버로 전송, 서버 SSH, FTP 권한 탈취 등의 역할을 한다”고 밝혔다.


악성코드 재유포, 단골 웹사이트들

언론사를 비롯한 주요 웹사이트에서 악성코드가 재유포되는 정황도 지속적으로 발견되고 있어 근본적인 원인을 파악한 후, 그에 따른 조치가 필요하다는 지적이 제기되고 있다.    

▲ 악성코드 경유지(위)와 유포지로 악용된 웹사이트 캡처화면

지난 20일 특허관련 사이트가 악성코드 경유지로 악용됐으며, 19일에는 스포츠00 사이트와 00제철소 외주파트너사협회 사이트, 그리고 0000대학교 웹사이트 제로보드 게시판에 악성코드가 삽입된 정황이 포착됐다. 또한 00태권도 사이트의 경우 호스팅업체를 이용해 악성코드를 유포한 정황이 발견됐다.


이보다 앞서 지난 14일에는 W언론사와 I언론사 웹사이트에서 악성코드 재유포되는 정황이 포착됐다. 이와 관련 한 보안전문가는 “스포츠00 사이트의 경우 웹셸이 심어져 있다”며 “악성URL을 삭제하기 보단 근본적인 조치를 취해야 한다”고 당부했다.

시스템 개발 및 홈페이지 제작업체인 000웹사이트의 경우도 지속적으로 문제가 되고 있다. 이와 관련 한 보안전문가는 “해당 웹사이트는 앞서도 계속 문제가 됐던 사이트로 이번에는 웹호스팅 관리자 페이지 내에 악성링크가 삽입되어 악성행위에 계속 이용당하고 있다”고 지적했다.


00메이트, 특정 관리자 페이지 내부에 악성코드

네비게이션 전문업체 00메이트 웹사이트의 경우도 지난 2월 특정 관리자 페이지 내부에 악성파일이 업로드되어 다른 곳의 유포지 및 경유지를 통해 실제적으로 악성코드를 다운받고 설치하도록 하는데 이용됐다. 하지만 3개월여가 지난 10일에 다시 해당 사이트를 통해서 악성링크가 삽입되어 영향을 주는 정황이 포착됐다.

 ▲ 지난 10일 악성링크가 삽입된 00메이트 웹사이트 캡처화면


이와 관련 빛스캔은 “이번에 발견된 악성파일 형태는 지난 2월에 간접적으로 영향을 주는 바이너리 다운로드 유포지가 아닌 웹사이트를 방문하는 사용자를 직접 노린 것으로 확인됐다”며, “이로 인해 웹사이트 방문만으로도 악성링크에 노출되어 취약한 사용자의 경우 악성코드가 설치될 수 있다”고 밝혔다. 특히, 해당 사이트의 경우 한차례 문제가 확인된 바 있지만, 당시 적절한 조치가 취해지지 않아 향후 유사한 문제가 재발할 수 있다고 우려했다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)