中 최대 온라인 메신저 ‘QQ’ 계정·비밀번호 절취 바이러스 활개
中 정보보안업체 피싱사이트 약 1만8,600개 탐지...누리꾼 8만명 공격

[보안뉴스 온기홍=중국 베이징] 중국에서 지난주 최대 온라인 메신저 ‘QQ’의 계정과 비밀번호를 훔쳐낸 다음 피해자의 메신저 친구들을 상대로 사기행위를 벌이는 새로운 바이러스가 활개를 친 것으로 나타났다.

지난주 중국 정보보안업체가 찾아낸 자국내 피싱사이트는 약 1만8,600개로 한 주 전보다 1,500여개 줄었다. 피싱 사이트의 공격을 받은 중국 누리꾼수는 8만 명으로 한 주 전과 비슷했다.

中 5월 18일~24일 주간 주요 컴퓨터 바이러스
중국 정보보안업체인 루이싱이 자사 ‘클라우드 보안 시스템’의 모니터링을 바탕으로 내놓은 보고에 따르면, 지난 18일~24일 한 주 동안 중국에서 많은 주목을 받은 대표적인 컴퓨터 바이러스에는 ‘Trojan-PSW.Win32.QQPass.cosb’이 꼽혔다.



▲ 5월 18일~24일 중국내 주요 컴퓨터 바이러스(출처: 중국 루이싱)

이 바이러스는 컴퓨터내 레지스트리를 수정하고 온라인 메신저 ‘QQ’ 프로그램을 강제로 중지시킨다. 이어 ‘QQ’ 로그인 창을 위조해 사용자를 속여 ‘QQ’ 계정과 비밀번호를 입력하게 한 다음, 이를 해커가 지정한 웹주소로 보낸 뒤 스스로를 삭제한다고 루이싱 쪽은 밝혔다. 컴퓨터가 이 바이러스에 감염되면, 사용자는 ‘QQ’ 계정과 비밀번호를 도난 당하게 되고, 메신저 친구도 ‘QQ’에서 사기 위험에 놓일 수 있다.

지난 주 중국에서 활개를 친 대표적인 컴퓨터 바이러스 중에는 인기 온라인 게임의 계정과 비밀번호를 훔치려는 바이러스들이 포함돼 주목을 받았다. 일자별로 중국에서 기승을 부린 대표적인 컴퓨터 바이러스를 살펴보면, 5월 18일에는 ‘Trojan.PSW.Win32.QQGame.ef’가 기승을 부렸다.

루이싱 쪽이 연인원 2만2,066명으로부터 신고를 받은 이 바이러스는 컴퓨터 시스템 중 실행되고 있는 보안 프로그램을 찾아내고, 계정 절취 기능이 있는 파일을 시스템 디렉터리에 투입한다. 또 레지스트리 수정해 바이러스 자동 활동 시작 기능을 추가한다고 루이싱은 설명했다.

동시에 이 바이러스는 사용자의 ‘QQ 게임’ 계정과 비밀번호를 훔쳐내 뒤 해커가 지정한 웹사이트로 보내는 것으로 드러났다. 지난 19일 중국에서 크게 퍼진 대표적인 바이러스는 ‘Trojan.PSW.Win32.QQPass.fnw'로, 연 2만1,905명이 신고했다. 이 바이러스는 백그라운드에서 사용자의 입력 내용을 감시하며, 컴퓨터를 마비시키고 사용자의 ‘QQ’ 계정과 비밀번호를 빼내서 해커에게 발송하는 것으로 밝혀졌다.

이어 20일 중국내 대표적인 컴퓨터 바이러스에는 ‘Trojan.Win32.OnlineGames.hw’가 꼽혔다. 연 2만4,518명이 신고한 이 바이러스는 웹사이트에 트로이목마를 숨겨 퍼지며, 유행하는 인기 온라인 게임의 계정과 비밀번호를 훔친다.

지난 21일에는 ‘Worm.Win32.Agent.ayn’ 바이러스가 중국에서 기승을 부린 대표적인 바이러스로 지목됐다. 연인원 2만3,042명이 신고한 이 웜(worm) 바이러스는 USB 저장장치, 인트라넷, DLL를 포함한 여러 상용 SW 들을 공격하고 압축 형식의 파일을 감염시키는 수단을 통해 퍼진다. 또한 여러 수단을 써서 각종 백신SW를 중지시킨다. 이 바이러스는 특정 ‘생성기’를 갖고서 임의로 웹주소와 기능을 내려 받는다고 루이싱은 설명했다.

주말이 들었던 22일~24일 사흘 동안 중국에서 활개를 친 대표적인 바이러스는 ‘Trojan.Win32.Delf.zdi’로, 연 2만561명이 신고했다. 이 바이러스는 여러 바이러스 퇴치 SW와 보안 툴을 중지시키며, 레지스트리를 수정해 바이러스가 자동으로 활동을 시작할 수 있게 한다고 루이싱은 설명했다. 이어 해커가 지정한 웹사이트에서 많은 바이러스를 내려 받는 것으로 밝혀졌다.
 
中 5월 18일~24일 주요 피싱사이트
루이싱은 자사 ‘클라우드 보안’ 시스템을 써서 18일~24일 한주 동안 중국에서 1만8,582개의 피싱사이트를 찾아냈다고 밝혔다. 한 주 전에 비해 탐지수량은 약 1,570개 줄었다. 또 한 주 전과 비슷한 중국 누리꾼 8만 명이 피싱사이트의 공격을 받았다고 덧붙였다.

날짜별로 살펴보면, 피싱 사이트 공격에 노출된 중국 누리꾼 수는 5월 18일 연인원 9,823명, 19일 연 1만446명, 20일 연 1만464명, 21일에는 연 1만1,254명으로 늘었고, 주말인 낀 22일~24일에는 연 2만9,607명에 달했다고 루이싱은 밝혔다.

루이싱의 보안 시스템이 탐지한 피싱 웹주소는 지난 18일 2,961개, 19일 3,196개, 20일에 3,155개로 줄었다가 21일에 3,450개, 주말이 포함된 22일~24일에는 8,040개를 기록했다.

이와 함께 지난 주에는 중국 최대 온라인 쇼핑사이트 타오바오(Taobao)를 가장한 http://ceshitao.3vzhuji.com/, 텐센트(Tencent)의 인기 온라인 게임으로 위장한 www.cfwzkj.com/cf2015/, 가짜 페이팔(Paypal) http://server.main.s.login.ntjfa.com.au/ 등을 비롯한 피싱 사이트들이 중국 누리꾼의 여러 웹사이트와 인터넷 뱅킹 계정·비밀번호를 노렸다. 이들 피싱사이트는 바이러스나 트로이목마를 숨기고 있다.

날짜별로 중국에서 널리 퍼진 피싱사이트를 살펴보면, 먼저 지난 18일 피싱사이트 톱5는 △중국판 인기 TV 오락 프로그램 ‘보이스 오브 차이나’를 가장한 http://idc-47-127-212-116.hkt.cc/  (허위 TV 프로그램 주관 당첨 정보로 사용자를 속여 송금 유도) △텅쉰의 게임으로 가장한 www.shuawuying.com/ (허위 S/W 정보로 사용자를 속이고 계정과 비밀번호 빼냄) △중국 최대 은행인 중국공상은행을 사칭한 http://wap.icbcvsg.com/login.asp (사용자를 속여 카드 번호와 비밀번호 훔침) △허의 의약류 http://a.ltdnxx.com/BDlyp/?jianfeicha (허위 의약 정보로 사용자를 속여 송금 유도) △야후(Yahoo) 전자우편으로 위장한 http://florazul.com.br/oblivion/ (사용자의 계정과 비밀번호 정보 편취) 순으로 꼽혔다.

이어 19일 피싱사이트 톱5에는 △중국판 인기 TV 오락프로그램 ‘보이스 오브 차이나’로 속인 www.viphsyk.cc/ △텅쉰의 게임을 가장한 www.cf980.com/ △중국공상은행을 사칭한 http://95533ascbb.com/ △허위 의약류 www.nenfubao.com/ △구글(Google) 전자우편으로 위장한 http://almendros.is/wp-includes/dpbx/index.php (사용자의 계정과 비밀번호 정보 훔침) 등 차례로 지목됐다.

지난 20일 피싱사이트 톱5의 경우 △중국 최대 온라인 쇼핑몰 타오바오를 가장한 srtjhdfg.gq/login1.asp?submit.x (사용자를 속여 계정과 비밀번호 훔침) △텅쉰의 게임으로 위장한 www.5sq.cc/ △중국건설은행을 사칭한 www.ccbtie.net / (사용자의 카드 번호와 비밀번호 정보 편취) △허위 의약류 www.vip1.megou999.com/chula/ (가짜 의약 정보로 사용자를 속여 송금 유도) △구글 전자우편으로 위장한 www.homeoclub.in/1221/74434/note/index.php 순이었다.

또 5월 21일 피싱사이트 톱5는 △타오바오를 사칭한 http://jszhangyuanchengvd.cn/ (허위 주문서 정보로 사용자를 속여 계정과 비밀번호 정보 훔침) △허위 온라인 구매류 www.fukupa.com/ (허위 구매 정보로 사용자의 금전 편취) △중국공상은행을 사칭한 http://118.193.147.122:6563/ △허위 의약류 www.phbbs.net/xbk/index.htm (허위 의약 정보로 사용자를 속여 송금 유도) △구글 전자우편으로 가장한 http://projectxke.tv/wp-includes/googledocs/login.php 등 차례로 꼽혔다.

주말이 들었던 5월 22일~24일 피싱 사이트 톱5에는 △중국판 인기 TV 오락프로그램 ‘런닝맨’을 가장한 http://piobyn.com/ (프로그램 주관 당첨 정보로 위장해 사용자를 속여 송금 유도) △허위 온라인 구매류 http://apple61.xu1514.com/ △중국공상은행을 사칭한 www.fjiccb.com/ △허위 의약류 www.alenyachina.net/ △구글 전자우편으로 위장한 http://primapaten.com/blessifile/ 순으로 지목됐다.

이런 가운데 루이싱의 보안 시스템 모니터링 결과, 지난주 중국내 웹페이지에 숨은 트로이목마의 공격을 받은 중국 누리꾼 수는 18일 연인원 1만240명, 19일 연 1만1,115명, 20일 연 1만1,856명, 21일 연 1만2,866명 등 매일 1만 명을 웃돌았다. 주말이 든 22일~24일 사흘 동안에는 연 2만3,772명에 달했다.

루이싱 쪽이 탐지한 트로이목마가 숨은 웹 주소는 18일 5,337개, 19일 5,018개, 20일에는 5,379개, 21일에는 6,225개로 늘었으며, 주말이 포함된 22일~24일에는 9,650개가 탐지됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>