세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
공인인증서 탈취 악성코드 다시 기승! 네이버·KISA 피싱 페이지로 연결
  |  입력 : 2017-08-16 00:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
12~13일 하루 동안 74곳의 웹사이트에서 파밍 악성코드 유포
네이버 파밍 URL 이동 후, KISA 전자금융사기 예방서비스 사칭 페이지 연결
공인인증서부터 보안카드 번호까지 PC 사용자의 모든 정보 탈취 시도


[보안뉴스 권 준 기자] 지난 주말부터 시작해서 광복절까지 이어진 여름철 마지막 연휴기간 동안 공인인증서 탈취를 노린 악성코드가 기승을 부린 것으로 드러났다.

▲ KISA의 전자금융사기 예방서비스를 사칭한 피싱 페이지 화면[자료=KAIST 사이버보안연구센터]


이번 악성코드 유포 현황을 분석한 카이스트(KAIST) 사이버보안연구센터에 따르면 지난 주말인 12일부터 오후 3시부터 13일 오후 11시까지 1일 간의 탐지기간 동안에 총 74곳의 국내 웹사이트에서 공인인증서 탈취를 목적으로 한 악성코드가 유포된 것으로 조사됐다. 하루에 불과한 탐지시간과 탐지되지 않은 사이트를 감안하면 실제 피해 사이트와 피해자 규모는 크게 증가할 것으로 우려된다.

해당 악성코드는 해커들에 의해 이미 해킹된 웹사이트를 방문만 해도 감염되는 드라이브 바이 다운로드(Drive-by-Download) 방식으로 전파되는데, 악성코드는 우선적으로 피해자 PC 내에 존재하는 공인인증서를 탈취하는 것으로 조사됐다.

또한, 해커들은 파밍 공격을 위한 서버 IP(198.1.xxx.xx7)를 획득한 후, hosts 파일을 변조해 시작페이지를 변경함으로써 감염 PC를 네이버와 흡사한 파밍 URL로 이동시키게 된다. 이어 우리나라의 정보보호 전문기관인 한국인터넷진흥원(KISA)의 전자금융사기 예방서비스를 사칭한 페이지로 연결시켜 보안카드 번호 또는 OTP 인증코드 입력을 유도함으로써 예금 인출 등 2차 범죄를 노린다는 게 KAIST 사이버보안연구센터 측의 설명이다.

해커들이 이번 파밍 공격으로 피해자들로부터 탈취한 정보에는 은행명, 이름, 공인인증서, 주민번호, 계좌번호, 계좌비밀번호, 핸드폰 번호, 보안카드 넘버 등이 모두 포함된 것으로 드러나 악성코드 감염은 물론 실제 예금 인출 피해까지 발생했을 가능성이 커지고 있다.

이와 관련 KAIST 사이버보안연구센터 조호묵 실장은 “지난 주말부터 수많은 웹사이트에서 악성코드를 뿌리며 공인인증서 탈취를 시도하고 있다”며, “은행은 물론 우리나라의 어떤 공공기관도 보안카드 번호 입력을 요구하는 경우는 없으므로 관련 팝업창이나 페이지가 뜰 경우 악성코드 감염을 의심해야 한다. 이 경우 바이러스 백신을 통한 PC 검사 및 치료를 서두르고 PC 내에 공인인증서를 보관하고 있었다면 기존 인증서를 폐기하고 재발급 받아야 한다”고 밝혔다.

이러한 가운데 최근 분석 결과에 따르면 파밍 악성코드를 유포한 국내 웹사이트가 400여곳에 달하는 것으로 나타났다. 또 다른 보안전문가는 “지난 주말인 12~13일에 여러 차례 문제가 되고 있는 날씨관련 사이트인 **닷컴이 제공하는 광고 배너와 일일정보지 교**를 통해서 국내 웹사이트 400여곳 이상에서 파망 악성코드를 유포한 것으로 드러났다”고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)