보안 인증 요구하는 팝업 주의!

최근 포털 사이트에 접속하자 보안 인증을 하라며 피싱(Fishing) 사이트로 연결함과 동시에 팝업 창을 띄우는 악성코드가 발견돼 사용자들의 각별한 주의가 요구된다.

해당 악성코드에 감염된 상태에서 특정 사이트에 접속할 경우 [그림 1]과 같은 팝업 창이 나타나는 사이트로 연결된다. 연결된 사이트는 사용자의 개인정보를 빼내기 위해 악의적으로 제작된 피싱 사이트다. 

과거의 피싱과 다른 점이 있다면 과거에는 사용자가 금융 관련 사이트에 접속할 경우 호스트 변조 등의 방식으로 피싱 사이트가 연결되도록 했지만, 이번에는 금융권 사이트가 아닌 일반 포털 사이트에 접속했음에도 피싱 사이트로 연결되도록 했다는 점이다.

 

[그림 1] 금융권 사이트를 가장한 피싱 사이트

팝업 창은 ‘금융 사기가 빈번하게 발생하고 있어 보안 관련 인증 절차를 진행한다’며 보안 인증 요구한다. 사용자가 해당 페이지의 확인 버튼을 클릭해 사용자의 개인 정보를 입력하면, 해당 정보는 해커에게 전송된다. 

 

[그림 2] 악의적인 사용자 정보 입력 사이트

해당 악성코드는 기존의 파밍(Pharming)과 유사한 형태로, 특정 사이트를 접속할 경우 변조된 호스트 파일에 의해 악의적인 피싱 사이트에 연결되도록 하는 수법을 이용했다.

특징적인 것은 악성 호스트 파일을 해커가 마련해 놓은 특정 사이트에서 내려 받아 오는 형태를 보인다는 점이다.

 

[그림 3] 특정 서버로부터 악성 호스트 파일 다운로드

[그림 4]는 악성코드에 의해 변조된 호스트 파일이다. 아래의 사이트에 접속할 경우 악의적으로 제작된 피싱 사이트로 연결된다. 추가적으로, 악성코드에 의해 생성된 배치파일 명령을 통해 특정 프로세스를 종료하거나 파일의 속성을 변경하는 등의 악의적인 행위도 한다. 또한 악성코드는 리소스의 다수를 점유해 시스템 및 인터넷의 속도가 느려지는 원인이 되기도 한다.

 

[그림 4] 변조된 호스트 파일

 

[그림 5] 감염된 시스템의 리소스 점유

 

이와 같이 불특정 다수를 대상으로 제작된 피싱 사이트는 정상적인 사이트와 매우 흡사하게 만들어져 사용자들이 의심 없이 개인 정보를 입력할 위험이 있다.

이 같은 피해를 막기 위해서는 무리하게 개인 정보를 요구하거나, 보안 카드의 번호 전체를 요구하는 경우 일단 파밍에 의한 피싱 사이트를 의심해야 한다. 특정 웹사이트에 접속할 때 설치되는 액티브X나 P2P 프로그램을 통해서도 악성코드가 유포될 수 있으니 의해야 한다. @