신규 파밍, 제1 은행권 모두 파밍 사이트로 유도...디자인 더 정교  QR 코드 이용해 파밍 사이트로 유도하는 정황도 포착

[보안뉴스 김경애] 최근 이슈가 되고 있는 금융정보 탈취를 위한 목적으로 사용되는 ‘파밍 공격’ 수법이 갈수록 지능화, 다양화되고 있다. 특히, QR코드를 활용한 파밍이 포착되면서 사용자들이 쉽게 접근 가능하고 신뢰할 수 있는 곳을 활용하는 등 수법이 더욱 치밀해지고 있어 사용자들의 각별한 주의가 요구된다.



 ▲ 그림 1. 기존 포탈 파밍 사이트에서 떠다니는 광고(Floating Banner) 형태로 파밍 유도

이와 관련 빛스캔은 새로운 파밍 수법에 대해 설명했다. 기존의 공격 방식은 악성코드에 감염이 되면 윈도우 시스템 디렉토리 내에 있는 hosts(ics) 파일 등을 변조해 사용자가 온라인 뱅킹 사이트를 방문하는 경우에만 파밍공격이 발생했다는 것.

그러나 최근에는 PC가 악성코드에 감염이 되면 이미 공격자가 만들어 놓은 네이버나 다음과 같은 포털사이트로 변경이 되어 그림 1과 같이 보여주고, 그 이후 금융 정보 탈취가 이루어지는 방식으로 진화했다는 것이다.


 ▲ 그림 2. 신규 포탈 파밍 사이트에서 떠다니는 광고(Floating Banner) 형태로 파밍 유도


7월 5주차에 PCDS(Pre-Crime Detect Satellite)에 의해 탐지된 악성링크에서는 그림 2와 같이 새로운 파밍 공격이 출현했고, 그림 3과 같이 QR 코드를 활용하는 정황도 포착되었다고 빛스캔 측은 밝혔다.

그림 1과 같이 기존 파밍 공격은 5개의 은행을 파밍 사이트로 유도 했다면, 그림 2의 신규 파밍 공격은 제1 은행권 모두를 파밍 사이트로 유도하고 있으며, 디자인도 좀더 정교해진 점이 특징이다.



 ▲ 그림 3. QR코드를 이용하는 파밍 사이트 정황 포착

또한, 그림 2에서와 같이 포털사이트의 팝업 창에서 파밍 사이트로 연결되는 인터넷 뱅킹 사이트를 클릭해서 방문하면 기존에 보이지 않았던  그림 3과 같이 QR 코드를 이용한 파밍 사이트로 유도하는 정황이 포착됐다.

이와 관련 빛스캔의 오승택 연구원은  “특히, 스마트폰 및 태블릿 PC의 QR코드 인식 애플리케이션을 사용하면 해당 내용이 인터넷 사이트에 접속 되도록 유도하고 있었으며, QR코드 인식 결과 www.koboan.com 사이트로 연결이 되는 것은 확인이 되었지만, 최종적으로 사이트에는 접속이 진행되지는 않았다”고 설명했다.

이처럼 공격자들은 사용자들이 일상생활에서 자주 이용하는 신뢰할 수 있는 것들을 악용하는 전략을 세우고 있어 사용자들의 각별한 주의가 요구된다.

그 가운데 QR코드(Quick Response)가 그러하다. QR코드는 우리가 일상생활에서 많이 접하고 있는 코드로 정사각형 모양의 불규칙한 마크를 쉽게 연상할 수 있는데 기존의 바코드보다는 좀더 발전한 코드체계이다. 온·오프라인, 스마트폰, 테플릿 PC 등에서 QR코드 인식 애플리케이션을 사용하면 해당 내용이 인터넷 사이트에 접속되어 추가 정보의 확인이 가능해 많은 사람들이 이용하고 있다.

그러나 공격자는 이러한 점을 전략적으로 노리고 있기 때문에, 모바일 사용자의 금융정보를 탈취할 가능성이 대단히 높아 각별한 주의가 필요하다. 이와 관련 오승택 연구원은 “QR 코드까지 활용한다는 의미는 기존 PC에 대한 파밍 공격에 이어 모바일까지 공격 범위를 확장하기 위한 신호로 해석될 수 있어 더욱 주의해야 한다”고 당부했다.

특히, 취약한 웹사이트 내에 삽입되어 있는 악성링크(비정상링크)에 의해 대량으로 유포되는 문제점을 해결하지 않는 한 이러한 파밍 공격을 차단하기는 쉽지 않다는 것이 빛스캔의 설명이다. 또한, 새로운 파밍 공격이 꾸준이 발생하기 때문에 전체 범위를 모니터링하고 사전탐지 하지 않은 이상 예측이 힘들 수밖에 없다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>