[주간 악성링크] 파밍 악성코드, 한국 이어 일본 침공 준비하나?

국내 괴롭힌 파밍 악성코드, 일본 포털사이트로 확대
각종 취약점 이용한 악성URL 삽입 등 국내 웹사이트 ‘몸살’

[보안뉴스 김경애] 지난 한 주간 금융정보를 노리는 파밍이 기승을 부리는가 하면, 문제의 파밍 악성코드가 일본으로 확대되는 움직임이 포착됐다. 또한, 국내 웹사이트 곳곳에서 취약점을 이용한 웹사이트 공격과 악성URL이 탐지돼 이용자들의 주의가 요구된다.

▲13일 악성코드 유포 정황이 포착된 XX인쇄 사이트

취약점 이용한 악성링크 ‘기승’
13일 XX인쇄 사이트에서 악성코드 유포 정황이 포착됐다. 해당 사이트는 CPU 정보, 메모리 상태, 운영체제 버전, 컴퓨터 이름 등의 정보를 탈취하는 것으로 파악됐다.

이를 본지에 제보한 메가톤(닉네임)은 “JS 취약점과 CVE-2012-0773, CVE-2014-6332, CVE-2011-3544 취약점을 이용해 실행(EXE) 파일을 내려받도록 한다”며 “또한 모든 시스템 시작시 실행되는 트로이목마 설치가 완료되면, 트로이목마는 원래의 실행파일을 삭제한다”고 분석했다. 이어 그는 해당사이트는 데이터 수집과 원격제어를 통해 특정 URL 주소를 열고 도스(DOS)와 디도스(DDoS) 공격을 수행할 수 있다고 지적했다.

이어 지난 12일 XX간호학회 사이트에서는 중국의 한 총기사이트가 업로드 된 정황이 발견됐다. 이는 XX간호학회 사이트 취약점을 악용해 특정 하위 폴더에 파일 업로드가 이루어진 것으로 분석됐다.

이보다 앞서 지난 7일 XX스프링 페스티벌 클래식 음악관련 사이트에서도 악성URL이 발견됐다. 해당 사이트에 대해 메가톤은 “JS 암호화 워드프레스 4.2.1 버전 취약점을 이용해 홈페이지 소스를 변조하고, 취약한 FTP 계정을 통해 악성URL을 삽입했다”며 “서울문화재단 또는 서울시를 겨낭해 악성코드를 배포했을 수 있다”며 주의를 당부했다.

국내 웹사이트, 악성URL 삽입 이어져
같은 날 아웃소싱 전문업체 인터비즈XXX 사이트에서도 악성URL이 삽입돼 악성파일이 유포된 것으로 드러났다. 해당 사이트에 대해 보안전문가 AuditorLee는 한 성형외과 사이트로 연결된다며 이용자의 주의를 당부했다.

▲지난 12일 악성URL이 포착된 XX조명연구원 사이트

지난 12일에는 XX조명연구원 사이트에서 FTP 시스템을 통해 홈페이지에 악성URL이 삽입된 정황이 포착됐다. 해당 사이트의 경우 악성URL이 작동하지는 않았지만 시스템 권한을 이용해 공격했을 가능성이 높기 때문에 해당 웹사이트에 대해 보안점검이 필요하다는 게 메가톤의 설명이다.

파밍 기승, 국내에서 일본으로 확대
지난 11일에는 화상영어 교육업체 X티폰 사이트가 파밍용 악성코드를 유포하는 사이트로 연결되는 경유지로 악용됐다. 해당 사이트에 접속하면 악성코드를 유포하는 사이트로 연결되는데, 악성코드에 감염되면 파밍 사이트가 나타난다.

이에 대해 AuditorLee는 “해당 사이트에 접속하면 악성코드에 감염돼 공인인증서가 탈취된다”며 “가짜 금감원 배너를 보여주면서 보안을 강화해야 한다는 문구와 함께 뱅킹 화면을 보여주며 금융정보를 유도하고 있다”며 이용자의 주의를 당부했다.

▲파밍용 악성코드가 발견된 X비앤 사이트

이어 화장품 사이트인 X비앤에서도 이용자의 금융정보와 개인정보를 노리는 파밍용 악성코드도 발견됐다.

지난 8일에는 파일 공유 사이트인 XXXXXX WEBSHARE에서 ‘리니지 접속기’라는 게임 연결 프로그램을 사칭해 악성코드가 올려진 정황도 포착됐다. 게임 연결 서비스를 악용해 해당 사이트에 악성코드를 올려놓고 감염시킨다는 게 AuditorLee의 설명이다.

지난 2일에는 국내에서 유포됐던 파밍 악성코드와 연결되는 서버에서 국내 은행뿐만 아니라, 일본 웹사이트를 노리고자 하는 움직임이 포착됐다. 일본 은행을 타깃으로 하는 파밍 악성코드는 이미 지난해 6월에 보고된 바 있다.

▲ 지난 2일 일본 가짜 은행 사이트로 연결하기 위한 가짜 야후 재팬의 플로팅 배너

하지만 이번에 발견된 것은 국내에서 파밍 악성코드 감염시 변조된 파밍 리스트에 포함되어 있는 네이버, 다음, 네이트 등의 유명 포털사이트를 통해 가짜 은행 사이트로 연결하는 기법처럼 일본에서 가장 많이 접속하는 포털사이트를 통해서 가짜 은행사이트로 접속하도록 하는 기법이 이용됐다.

파밍 공격을 분석한 빛스캔에 따르면 공격자는 일본 은행의 고객정보를 탈취하기 위해 야후 및 구글재팬의 플로팅 배너를 통해 Mizuho Bank, 미쓰이스미토모, 리소나 은행 등의 사이트로 연결되도록 했으며, 사용자가 실제로 해당 은행에 대한 금융정보를 입력할 경우 국내 은행과 별개로 관리하는 서버에 저장했다고 밝혔다.

이어 빛스캔 측은 “입력된 정보를 확인한 결과, 피해자가 직접 입력한 값은 없었고 단순히 테스트한 값만 저장돼 있었다”며, “테스트 과정을 거친 후, 일본에서 파밍 악성코드가 실제 활동할 경우 일본 내에서 많은 혼란이 예상된다”고 설명했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)