파일 다운로드 받다 감염...현재 조치됐지만 피해자 다수 발생 우려
웹사이트 접속만으로 감염...2차로 금융정보와 공인인증서 탈취
인터넷 접속시 갑작스레 보안 인증 절차 요구하면 감염 의심
[보안뉴스 권 준 기자] 15일 국내 유명 웹하드 사이트를 통해 파밍 악성코드가 유포된 것으로 드러났다. 더욱이 해당 사이트 사용자들이 파일을 다운로드 받으려 웹하드 사이트에 접속만 했어도 파밍 악성코드에 감염돼 피해자들이 상당할 것으로 우려된다.
▲파밍 악성코드의 최종 유포지 트래픽 과다 발생[이미지=SCH사이버보안연구센터]
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 해당 웹하드 사이트에서 15일 오후에 3시간 이상 파밍 악성코드가 유포되고 있는 것을 확인했다. 또한, 악성코드 최종 유포지에서는 트래픽이 과다 발생한 것을 발견했고, 이는 해당 사이트에 평소보다 많은 이용자가 접속해 파밍 악성코드에 노출됐다고 판단하고 곧바로 한국인터넷진흥원(KISA)에 신고했다고 밝혔다.
센터 측은 “이후 KISA로부터 바로 조치를 했다는 통보를 받았다”며, “신속하게 조치가 완료되어 유명 웹하드 사이트에서 발생할 수 있는 파밍 악성코드에 대한 추가 피해를 줄일 수 있었다”고 평가했다.
이번에 발견된 악성코드는 웹페이지에 접속하는 것만으로 감염되는 드라이브 바이 다운로드(Drive-by Download) 방식이 사용됐다. 최근 파밍 악성코드 유포는 드라이브 바이 다운로드와 CK VIP 익스플로잇 킷이 결합된 기법이 주로 이용되는 것으로 알려졌다.
센터에서는 CK VIP 익스플로잇 킷을 통한 파밍 악성코드 유포를 꾸준히 확인하고 있다. 해당 공격 기법은 2014년도부터 유행하고 있는데, 2017년에도 다수의 온라인 쇼핑몰 사이트, 생활정보 사이트, 모바일 게임 관련 페이지, 웹하드 사이트 등에서의 파밍 악성코드 유포가 확인됐다는 설명이다.
▲파밍 감염 시 보안관련 인증절차를 요구하는 금융감독원 팝업창[이미지=SCH사이버보안연구센터]
▲인터넷 뱅킹 사용자의 금융 정보를 입력하게 유도하는 피싱 페이지[이미지=SCH사이버보안연구센터]
유명 웹하드 사이트는 결제를 통해 포인트를 구매하고, 해당 포인트를 이용해 파일을 다운로드 받게 되는데, 결제하는 과정 이후 파밍 악성코드에 감염된다면, 사용자는 가짜 보안 인증 절차를 무심결에 진행하게 될 가능성이 있다. 이에 따라 자신의 금융정보가 해커에게 유출되어 2차 피해를 당할 수 있다.
해당 웹사이트에서 유포된 악성코드는 PAC(Proxy Auto-Config)를 이용한 파밍 공격으로 악성코드에 감염된 사용자가 접속하는 사이트 주소를 내부 스크립트와 비교한 후 값이 일치하면 스크립트에 명시된 가짜 금융 사이트로 연결해 사용자의 계좌번호, 비밀번호 등 개인정보 입력을 유도하고, 공인인증서를 탈취해 금융 피해를 발생시키는 파밍 유형이다.
▲프록시 자동 스크립트 설정을 이용해 파밍 페이지로 연결하는 방식[이미지=SCH사이버보안연구센터]
순천향대 SCH사이버보안연구센터 김동현 연구생은 “유명 웹하드 사이트에 대한 파밍 악성코드는 탐지된 즉시 KISA에 신고하여 빠르게 조치가 이루어졌다“며, “현재까지 센터에서 탐지된 결과로 보아 CK VIP 익스플로잇 킷을 통한 악성코드 유포가 지속적으로 이루어지는 것으로 보인다. 인터넷 접속 시 갑작스런 보안 관련 인증 절차를 요구하면 파밍 악성코드 감염 의심을 해야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
웹사이트 접속만으로 감염...2차로 금융정보와 공인인증서 탈취
인터넷 접속시 갑작스레 보안 인증 절차 요구하면 감염 의심
[보안뉴스 권 준 기자] 15일 국내 유명 웹하드 사이트를 통해 파밍 악성코드가 유포된 것으로 드러났다. 더욱이 해당 사이트 사용자들이 파일을 다운로드 받으려 웹하드 사이트에 접속만 했어도 파밍 악성코드에 감염돼 피해자들이 상당할 것으로 우려된다.
▲파밍 악성코드의 최종 유포지 트래픽 과다 발생[이미지=SCH사이버보안연구센터]
순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 해당 웹하드 사이트에서 15일 오후에 3시간 이상 파밍 악성코드가 유포되고 있는 것을 확인했다. 또한, 악성코드 최종 유포지에서는 트래픽이 과다 발생한 것을 발견했고, 이는 해당 사이트에 평소보다 많은 이용자가 접속해 파밍 악성코드에 노출됐다고 판단하고 곧바로 한국인터넷진흥원(KISA)에 신고했다고 밝혔다.
센터 측은 “이후 KISA로부터 바로 조치를 했다는 통보를 받았다”며, “신속하게 조치가 완료되어 유명 웹하드 사이트에서 발생할 수 있는 파밍 악성코드에 대한 추가 피해를 줄일 수 있었다”고 평가했다.
이번에 발견된 악성코드는 웹페이지에 접속하는 것만으로 감염되는 드라이브 바이 다운로드(Drive-by Download) 방식이 사용됐다. 최근 파밍 악성코드 유포는 드라이브 바이 다운로드와 CK VIP 익스플로잇 킷이 결합된 기법이 주로 이용되는 것으로 알려졌다.
센터에서는 CK VIP 익스플로잇 킷을 통한 파밍 악성코드 유포를 꾸준히 확인하고 있다. 해당 공격 기법은 2014년도부터 유행하고 있는데, 2017년에도 다수의 온라인 쇼핑몰 사이트, 생활정보 사이트, 모바일 게임 관련 페이지, 웹하드 사이트 등에서의 파밍 악성코드 유포가 확인됐다는 설명이다.
▲파밍 감염 시 보안관련 인증절차를 요구하는 금융감독원 팝업창[이미지=SCH사이버보안연구센터]
▲인터넷 뱅킹 사용자의 금융 정보를 입력하게 유도하는 피싱 페이지[이미지=SCH사이버보안연구센터]
유명 웹하드 사이트는 결제를 통해 포인트를 구매하고, 해당 포인트를 이용해 파일을 다운로드 받게 되는데, 결제하는 과정 이후 파밍 악성코드에 감염된다면, 사용자는 가짜 보안 인증 절차를 무심결에 진행하게 될 가능성이 있다. 이에 따라 자신의 금융정보가 해커에게 유출되어 2차 피해를 당할 수 있다.
해당 웹사이트에서 유포된 악성코드는 PAC(Proxy Auto-Config)를 이용한 파밍 공격으로 악성코드에 감염된 사용자가 접속하는 사이트 주소를 내부 스크립트와 비교한 후 값이 일치하면 스크립트에 명시된 가짜 금융 사이트로 연결해 사용자의 계좌번호, 비밀번호 등 개인정보 입력을 유도하고, 공인인증서를 탈취해 금융 피해를 발생시키는 파밍 유형이다.
▲프록시 자동 스크립트 설정을 이용해 파밍 페이지로 연결하는 방식[이미지=SCH사이버보안연구센터]
순천향대 SCH사이버보안연구센터 김동현 연구생은 “유명 웹하드 사이트에 대한 파밍 악성코드는 탐지된 즉시 KISA에 신고하여 빠르게 조치가 이루어졌다“며, “현재까지 센터에서 탐지된 결과로 보아 CK VIP 익스플로잇 킷을 통한 악성코드 유포가 지속적으로 이루어지는 것으로 보인다. 인터넷 접속 시 갑작스런 보안 관련 인증 절차를 요구하면 파밍 악성코드 감염 의심을 해야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
