네이버, 네이트 등 로그인 페이지로 위장한 피싱 파일...아이디 자동입력하는 치밀함 보여
정보 유출하려 노코드폼 활용, 공격자에게 계정 정보 전송
출처가 불분명한 메일이나 링크 통한 로그인 ‘시도 조차 하지 말아야’

[보안뉴스 박은주 기자] 네이버, 네이트 등 국내 유명 포털 사이트 로그인 페이지와 유사한 피싱 파일이 유포되고 있다. 사용자 계정정보를 탈취하기 위한 목적으로, 출처가 불분명한 메일이나 링크를 통한 로그인에 주의해야 한다.


▲(왼쪽부터) 네이버 로그인 피싱 페이지, 정상 페이지[자료=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에서 제공한 자료를 바탕으로 피싱 페이지와 정상 로그인 페이지를 비교하기 위해 이미지를 나란히 배치했다. 눈으로만 봤을 때는 어느 쪽이 정상 페이지인지 구분하기 어렵다. 공격자가 사용자를 속이기 위해 정상 사이트 소스코드를 그대로 사용했기 때문이다. 이렇듯 과거부터 국내 포털 사이트와 운송, 물류업, 브랜드, 웹메일 등의 로그인 페이지로 위장한 계정 탈취 사례가 다수 발견되고 있다.


▲네이버 로그인 아이디 입력 폼 이메일 값을 입력한 코드[자료=ASEC]

공격자는 사용자가 입력하는 계정정보 탈취를 지속적으로 시도한다. 특히 사용자가 피싱 페이지를 통해 로그인하도록 유도하기 위해 치밀한 속임수를 사용한다. 아이디를 입력할 때 미리 알아낸 이메일을 사용해 자동으로 아이디가 입력되게 하는 것. 사용자는 입력된 아이디를 보고 무심코 비밀번호를 입력할 수 있다. 이때 피싱 페이지는 정상 페이지와 아이디와 비밀번호가 전달되는 주소와 방식이 다르다.


▲네이버 계정정보 유출에 NoCodeForm을 활용[자료=ASEC]

ASEC에 따르면 계정정보를 유출하기 위한 방식으로 ‘NoCodeForm(노코드폼)’을 활용했다. 노코드폼은 HTML 양식으로 전송된 결과를 사용자 이메일이나 슬랙을 통해 전달할 방법을 제공하는 도구다. 계정을 만들면 고유 폼 아이디가 만들어지고, 이를 통해 외부 사용자가 입력한 값을 전달받을 수 있는 것.

이처럼 공격자는 꾸준히 정상 웹사이트 소스를 그대로 사용한 피싱 페이지를 유포하고 있다. 따라서 정상적인 웹사이트 접속이 아닌 경우, 로그인 자체를 시도하지 말아야 한다. ASEC는 “만일 로그인을 시도했다면 관련된 모든 비밀번호를 즉시 변경해야 한다”고 권고했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>