세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
127개 국내 홈페이지, 도박 사이트 피싱 공격에 또 악용됐다
  |  입력 : 2017-08-10 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
홈페이지 해킹 후 하위 페이지 생성...원래 홈페이지처럼 검색되어 피싱 유도
피싱 아닌 랜섬웨어 유포 등에 악용되면 피해 기하급수적으로 늘 수도
최근 확인된 해킹 홈페이지만 300여개...홈페이지 점검 시급


[보안뉴스 원병철 기자] 약 130여 개의 국내 홈페이지가 해킹돼 피싱에 악용된 정황이 발견됐다. 해당 홈페이지들은 지방 방송국을 포함해 유명 화장품 브랜드와 유명 학회, 사회복지관 등 많은 사람들이 방문하는 곳이라 추가 피해로 이어질 가능성도 있어 주의가 요구된다.

▲ 해킹당한 방송국 홈페이지. 각종 불법 사이트 링크가 걸려 있는 것을 확인할 수 있다[자료=홈페이지 캡처]


위협정보 대응전문 서비스를 제공하는 제로써트(ZeroCert)는 최근 홈페이지를 위변조해 사행성 게임 사이트로 유도하는 공격이 진행되고 있다고 밝혔다. 피싱 유형중 홈페이지 위변조를 통해 특정 목적의 링크를 삽입한 형태의 공격기법으로, 본지에서 얼마 전 보도했던 일명 ‘러브 차이나(#Operation LoveChina)’ 공격과 비슷한 사건이다.

이번 공격은 각 분야의 유명 홈페이지를 해킹해서 홈페이지 메인이 아닌 별도의 하위 페이지를 생성한 후, 해당 페이지를 방문하면 자동으로 사행성 게임 사이트 홈페이지로 이동하는 방식이다.

예를 들어, 사용자가 ‘보안뉴스’를 검색하면 보안뉴스 홈페이지를 비롯해 하위 페이지들이 검색되는데, 검색된 하위 페이지 중 하나가 사행성 게임 사이트로 유도하는 가짜 링크가 되는 것이다. 즉, 사용자가 보안뉴스를 검색한 결과인 페이지들에 접속할 때, 자기도 모르게 사행성 게임 사이트로 들어가게 되는 것이다.

제로써트(ZeroCert)는 “이번 피싱 공격이 실제 홈페이지를 공격해 하위에 새로운 페이지를 만든 것인 만큼 공격자가 홈페이지를 이미 장악했다고 볼 수 있다”면서, “하지만 실제 홈페이지 상에서는 피싱 페이지를 볼 수 없어서 이러한 사실을 알 수 없다”고 설명했다.

실제로 기자가 한 지역 방송국의 홈페이지를 구글에서 검색하자, 메인 페이지에서 피싱 페이지를 확인할 수 있었고, 실제로 클릭해서 들어가 보니 경마관련 사행성 도박 페이지로 이동되는 것을 확인했다.

이와 관련 한 보안전문가는 해당 홈페이지의 소스를 보니 악성 광고 링크가 삽입된 것을 확인할 수 있었다고 밝혔는데, 직접 확인해보니 사행성 도박 페이지는 물론 수많은 성인광고 페이지가 걸려 있었다.

제로써트(ZeroCert)는 “이번에 확인한 127개의 사이트는 지난 보안뉴스 기사에서 소개했던 러브 차이나 공격에서 사용된 200여개의 홈페이지와는 또 다른 사이트로 확인됐다”며 “너무나 많은 홈페이지들이 피싱 공격에 악용되고 있는데, 지금처럼 피싱이 아닌 랜섬웨어 등 실제 공격이 진행되면 얼마나 큰 피해를 입을지 걱정이다”고 밝혔다.

실제로 지금까지는 단순 피싱으로 악용되고 있지만 정보탈취, 랜섬웨어 등의 악성코드 유포 통로로도 악용될 수 있는 만큼 홈페이지 점검이 시급한 상황이다. 제로써트(ZeroCert)는 해당 홈페이지에 대한 신속히 조치가 이루어질 수 있도록 127개 홈페이지 리스트를 텍스트 및 파일 공유사이트인 페이스트빈(Pastebin)에 공개했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)