.jpg)
보안이 취약한 중소기업 사이트부터 시스템 장악 위한 악성코드 등 ‘기승’
[보안뉴스 김경애] 한 주간 보안이 취약한 중소기업 사이트에서 PC용 악성코드가, 유명 커뮤니티나 언론사의 특정 광고페이지에서 모바일 악성앱이 유포되는 등 유무선을 타깃으로 하는 악성코드의 활동이 잇따라 포착되고 있다.
▲지난 22일 악성 파일이 삽입된 21XX정보통신 사이트
사용자 정보 노리는 악성파일 ‘활개’
먼저 지난 22일 ‘21XX정보통신’ 사이트에서 악성 파일이 삽입된 정황이 포착됐다. 해당 사이트의 경우 FTP 계정에 악성파일을 업로드 한 정황이 탐지됐으며, 이를 바탕으로 ssh 계정 탈취 및 홈페이지 위변조가 가능하다.
이를 본지에 제보한 메가톤(닉네임)은 “해당 사이트는 결제 시스템 장악 및 결제 시스템의 정보유출 등을 목적으로 하고 있는 것으로 보인다”며 “악성 URL 등록과 사용자 추적 코드, 사용자 정보, 쿠키정보를 체크하는 악성 파일이 탐지되는 등 다른 홈페이지보다 위험성이 높다”며 주의를 당부했다.
▲지난 22일 악성파일이 발견된 대전광역시 사회적XX지원센터 사이트
이어 대전광역시 사회적XX지원센터 사이트에서 사용자 정보 확인과 의심스러운 스크립트, 악성URL, 사용자 추적 코드, 사용자 쿠키 정보를 체크하는 악성파일이 발견됐다. 특히, 해당사이트의 경우 악성코드 생성 및 이전 기록을 봤을 때 주기적으로 악성코드가 삽입됐다며, 워드프레스 취약점의 패치 미흡으로 인해 앞으로도 공격 가능성이 높다는 게 메가톤의 설명이다.
내부 권한 있는 공격자가 악성코드 경유지로 ‘악용’
지난 17일에는 주부XX에 내부 권한을 가지고 있는 공격자가 특정 페이지를 임의로 생성해 악성코드의 경유지로 이용한 후, 카운터 서버로 변경한 것이 포착됐다.
이와 관련 빛스캔에 따르면 주부XX의 사이트 같은 경우 2014년부터 악성코드 유포지로 활용되고 있지만, 계속해서 임시적으로만 악성링크가 삭제될 뿐 정작 필요한 조치는 취해지지 않고 있었다는 것. 따라서 지속적인 피해를 줄이기 위해서는 단순 악성링크 삭제가 아니라 정밀 점검을 통해 공격자가 들어오는 루트를 차단하는 것이 중요하다는 게 빛스캔 측의 설명이다.
▲지난 17일 악성파일이 발견된 주부XX의 사이트
현재도 주부XX 사이트의 경우 카운터 서버가 삽입되어 있어 공격자들이 해당 웹서비스를 방문하는 사용자들을 모니터링을 할 수 있는 환경이 그대로 유지되고 있는 상태이며, 공격자의 의도에 따라 악성링크가 삽입될 수 있는 심각한 상황으로 분석됐다.
이외에 X루웹 호스팅 사이트를 통해 악성코드가 유포됐으며, XX택, XX공조, XX생활, XX브리니 등 사이트에서 악성코드가 탐지됐다. 파밍 악성코드 역시 지속적으로 발견되고 있는 상황이다.
또한, 지난 20일에는 XXX경기방송 사이트에서 디페이스 해킹을 당한 정황이 포착됐다. 해당 사이트는 의심스러운 문자열(해킹 또는 훼손)과 의심스러운 스크립트가 감지됐다.
법인명의 계좌번호로 구매자 속이는 거래사기 ‘기승’
인터넷 사기 역시 기승을 부리고 있다. 인터넷 중고물품 거래 사이트에서의 물품 거래 시 법인명의 계좌번호를 미끼로 구매자를 속이는 수법이 포착된 것.
사기피해 정보 공유 사이트 더치트에 따르면 최근 6개월 간(5월~10월) 거래 사기에 법인명의 계좌번호를 사용한 사례는 446건에 달하는 것으로 나타났다. 지난해 11월부터 올해 4월까지 6개월 간 등록된 법인명의 사기피해 건수는 245건으로, 약 200건이 증가한 수치다. 이들은 주로 예금주의 이름에 ‘주식회사’, ‘(주)’, ‘유한회사’, ‘(유)’ 와 같은 단어를 넣어 구매자를 속였다.
동일 명의의 사기 피해 금액이 약 700만원에 달하는 사례도 있다. 이 사기범은 도서, 시계, 카메라 등 다양한 물품을 사기에 이용한 것으로 드러났다. 또한, 구매자가 요구한 물품과 등기 영수증 사진까지 보내는 치밀한 모습을 보여 피해자들의 분노가 커지고 있다.
더치트 관계자는 “지난 4월에 금융당국이 대포통장 발급을 예방하기 위해 시중은행에 통장 개설에 대한 특별강화대책 마련을 지시하면서 시중은행들이 개인의 신규 통장 발급을 위해 재직증명서, 근로계약서 등을 요구하는 등 다양한 서류를 요구함에 따라 법인명의의 범죄계좌 개설이 증가한 것으로 보인다”며, “온라인 거래시 안전거래를 이용하고, 더치트에서 판매자의 연락처, 계좌정보에 대한 피해이력이 있는지 여부를 조회해야 피해를 예방하는데 도움이 된다”며 보다 신중한 거래를 당부했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 한 주간 보안이 취약한 중소기업 사이트에서 PC용 악성코드가, 유명 커뮤니티나 언론사의 특정 광고페이지에서 모바일 악성앱이 유포되는 등 유무선을 타깃으로 하는 악성코드의 활동이 잇따라 포착되고 있다.
▲지난 22일 악성 파일이 삽입된 21XX정보통신 사이트
사용자 정보 노리는 악성파일 ‘활개’
먼저 지난 22일 ‘21XX정보통신’ 사이트에서 악성 파일이 삽입된 정황이 포착됐다. 해당 사이트의 경우 FTP 계정에 악성파일을 업로드 한 정황이 탐지됐으며, 이를 바탕으로 ssh 계정 탈취 및 홈페이지 위변조가 가능하다.
이를 본지에 제보한 메가톤(닉네임)은 “해당 사이트는 결제 시스템 장악 및 결제 시스템의 정보유출 등을 목적으로 하고 있는 것으로 보인다”며 “악성 URL 등록과 사용자 추적 코드, 사용자 정보, 쿠키정보를 체크하는 악성 파일이 탐지되는 등 다른 홈페이지보다 위험성이 높다”며 주의를 당부했다.
▲지난 22일 악성파일이 발견된 대전광역시 사회적XX지원센터 사이트
이어 대전광역시 사회적XX지원센터 사이트에서 사용자 정보 확인과 의심스러운 스크립트, 악성URL, 사용자 추적 코드, 사용자 쿠키 정보를 체크하는 악성파일이 발견됐다. 특히, 해당사이트의 경우 악성코드 생성 및 이전 기록을 봤을 때 주기적으로 악성코드가 삽입됐다며, 워드프레스 취약점의 패치 미흡으로 인해 앞으로도 공격 가능성이 높다는 게 메가톤의 설명이다.
내부 권한 있는 공격자가 악성코드 경유지로 ‘악용’
지난 17일에는 주부XX에 내부 권한을 가지고 있는 공격자가 특정 페이지를 임의로 생성해 악성코드의 경유지로 이용한 후, 카운터 서버로 변경한 것이 포착됐다.
이와 관련 빛스캔에 따르면 주부XX의 사이트 같은 경우 2014년부터 악성코드 유포지로 활용되고 있지만, 계속해서 임시적으로만 악성링크가 삭제될 뿐 정작 필요한 조치는 취해지지 않고 있었다는 것. 따라서 지속적인 피해를 줄이기 위해서는 단순 악성링크 삭제가 아니라 정밀 점검을 통해 공격자가 들어오는 루트를 차단하는 것이 중요하다는 게 빛스캔 측의 설명이다.
▲지난 17일 악성파일이 발견된 주부XX의 사이트
현재도 주부XX 사이트의 경우 카운터 서버가 삽입되어 있어 공격자들이 해당 웹서비스를 방문하는 사용자들을 모니터링을 할 수 있는 환경이 그대로 유지되고 있는 상태이며, 공격자의 의도에 따라 악성링크가 삽입될 수 있는 심각한 상황으로 분석됐다.
이외에 X루웹 호스팅 사이트를 통해 악성코드가 유포됐으며, XX택, XX공조, XX생활, XX브리니 등 사이트에서 악성코드가 탐지됐다. 파밍 악성코드 역시 지속적으로 발견되고 있는 상황이다.
또한, 지난 20일에는 XXX경기방송 사이트에서 디페이스 해킹을 당한 정황이 포착됐다. 해당 사이트는 의심스러운 문자열(해킹 또는 훼손)과 의심스러운 스크립트가 감지됐다.
법인명의 계좌번호로 구매자 속이는 거래사기 ‘기승’
인터넷 사기 역시 기승을 부리고 있다. 인터넷 중고물품 거래 사이트에서의 물품 거래 시 법인명의 계좌번호를 미끼로 구매자를 속이는 수법이 포착된 것.
사기피해 정보 공유 사이트 더치트에 따르면 최근 6개월 간(5월~10월) 거래 사기에 법인명의 계좌번호를 사용한 사례는 446건에 달하는 것으로 나타났다. 지난해 11월부터 올해 4월까지 6개월 간 등록된 법인명의 사기피해 건수는 245건으로, 약 200건이 증가한 수치다. 이들은 주로 예금주의 이름에 ‘주식회사’, ‘(주)’, ‘유한회사’, ‘(유)’ 와 같은 단어를 넣어 구매자를 속였다.
동일 명의의 사기 피해 금액이 약 700만원에 달하는 사례도 있다. 이 사기범은 도서, 시계, 카메라 등 다양한 물품을 사기에 이용한 것으로 드러났다. 또한, 구매자가 요구한 물품과 등기 영수증 사진까지 보내는 치밀한 모습을 보여 피해자들의 분노가 커지고 있다.
더치트 관계자는 “지난 4월에 금융당국이 대포통장 발급을 예방하기 위해 시중은행에 통장 개설에 대한 특별강화대책 마련을 지시하면서 시중은행들이 개인의 신규 통장 발급을 위해 재직증명서, 근로계약서 등을 요구하는 등 다양한 서류를 요구함에 따라 법인명의의 범죄계좌 개설이 증가한 것으로 보인다”며, “온라인 거래시 안전거래를 이용하고, 더치트에서 판매자의 연락처, 계좌정보에 대한 피해이력이 있는지 여부를 조회해야 피해를 예방하는데 도움이 된다”며 보다 신중한 거래를 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.png)
.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
