안랩, 유명 포털 사이트 위장한 피싱 웹사이트 주의 당부

by오희나 기자
2015.10.01 11:30:51

사용자 아이핀 계정 탈취, 악성코드 유포 목적, 가짜 포털사이트 발견
의심 웹사이트 방문 및 메일·SNS내 URL실행 자제..백신 업데이트 및 실시간 감시 필수

[이데일리 오희나 기자] 안랩(053800)은 최근 유명 포털 사이트로 위장한 피싱 사이트에서 사용자의 아이핀 계정을 탈취하거나, 해당 피싱 사이트에서 악성코드를 유포하는 사례가 발견돼 사용자의 주의가 필요하다고 1일 밝혔다.

공격자는 유명 포털 로그인 화면으로 위장한 피싱 사이트를 제작하고, 사용자의 아이핀(i-PIN) 정보 탈취를 시도했다.

먼저 사용자가 메일, SNS에 첨부된 URL 등 다양한 경로로 포털 로그인 창을 위장한 피싱 사이트에 접속하면, 유명 포털을 사칭해 아이디·비밀번호를 요구하는 가짜 로그인 화면이 뜬다.

사용자가 해당 창에 아이디·비밀번호를 입력하면, 실제와 유사하게 제작된 가짜 아이핀 인증 사이트로 연결된다. 이 사이트에서는 아이핀 아이디·비밀번호·2차 비밀번호까지 모두 입력하도록 유도한다. 이 때 사용자가 입력하는 정보는 모두 공격자에게 전송된다.

이번에 발견된 포털 사칭 피싱 사이트는 해당 포털 사이트의 최신 버전 로그인 화면이 아닌, 구(舊) 버전 화면을 사용하고 있는 것이 특징이다.



공격자는 사용자가 구분이 어려울 정도로 유사한 웹사이트 주소(URL)와 웹사이트의 화면 구성으로 사용자를 속인다. 사용자가 페이지 상단에 삽입된 특정 이미지를 클릭하면 악성코드에 감염되도록 피싱 사이트를 제작했다.

현재는 삽입된 이미지를 클릭해야 악성코드에 감염되지만, 공격자의 의도에 따라 접속만 해도 악성코드에 감염되도록 설정을 변경할 수도 있어 특히 주의가 필요하다.

해당 악성코드는 감염 이후 특정 C&C 서버(Command & Control, 공격자가 악성코드를 원격 조종하기 위해 사용하는 서버)로 접속을 시도해 시스템 정보를 탈취하는 등 공격자의 특정 명령을 받아 수행한다. 공격자의 목적에 따라 다양한 악성코드 추가 설치 및 실행이 가능해 사용자의 주의가 필요하다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.

피싱 피해를 예방하기 위해서는 △의심되는 웹사이트 방문 및 메일·SNS의 URL 실행 자제 △OS(운영체제) 및 인터넷 브라우저, 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램의 최신 버전 유지 및 보안 패치 적용 △백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.

박태환 안랩 ASEC대응팀 팀장은 “피싱 사이트는 포털을 비롯, 공공기관, 중고 거래 사이트 등 다양한 형태로 제작되고 있다”며 “사용자의 추가 정보를 탈취하거나 악성코드 유포 등의 행위를 시도하는 형태로 진화하고 있어 평소 출처가 불분명한 URL을 보면 주의하는 습관이 필요하다”고 밝혔다.