안랩(대표 권치중)은 유명 포털사이트의 보안 프로그램 다운로드 고객 안내 페이지를 위장해 악성코드를 유포하는 사례가 발견돼 주의가 필요하다고 18일 밝혔다.
안랩에 따르면, 공격자는 먼저 유명 포털사이트의 보안 프로그램 다운로드 고객 안내 페이지를 가장한 피싱 페이지를 만들었다. 사용자가 해당 피싱 페이지에 접속할 때 접속 기기 환경에 맞는 웹 페이지가 나타나도록 교묘하게 제작한 것이 특징이다. 보안 프로그램 설치파일을 위장한 악성코드도 접속 기기에 따라 PC에서 다운로드 시 압축파일(.zip)을, 스마트폰에서 다운로드시 앱 설치파일(.apk)을 내려 받도록 설계했다.
가짜 보안 프로그램 설치 위장 피싱페이지 접속 시 ‘보안 프로그램 다운로드’라는 링크 버튼이 나타난다. 이를 클릭하면 악성코드 실행파일(.exe)이 압축된 압축파일(.zip)이 다운로드된다. 사용자가 속아 해당 파일을 내려 받아 압축해제하고 실행하면 악성코드에 감염된다. 동시에 사용자 화면에는 ‘보안 프로그램이 성공적으로 설치되었습니다’라는 대화상자가 나타나 사용자가 악성코드 감염을 알기 어렵다.
감염 이후 악성코드는 사용자 PC의 IP, 윈도 운영체제 버전 정보, 드라이브 정보 등을 C&C 서버(공격자가 악성코드를 원격 조종하기 위해 사용하는 서버)로 전송한다. 또 추가 악성코드를 사용자 PC로 다운로드해 악성 행위를 지속적으로 수행한다.
스마트폰 환경에서 해당 피싱사이트에 접속하면 모바일 웹 페이지로 구성한 보안 프로그램 설치 위장 피싱 페이지가 나타난다. 또 보안 앱 다운로드 링크 버튼이 나타나며, 이를 클릭하면 보안 프로그램으로 위장한 악성앱 설치 파일(.apk)이 다운로드된다. 사용자가 설치파일을 실행하면 악성앱이 설치되며 해당 악성 앱은 사용자 몰래 단말기 전화번호, 고유번호(IMEI) 등 개인정보를 수집해 C&C 서버로 전송한다.
‘V3’는 해당 악성코드를 모두 진단 중이며, 피싱 페이지 URL 주소도 차단하고 있다.
이와 같은 피해를 예방하기 위해서는 ▲출처가 불분명한 메일 내 URL 및 첨부파일 실행 금지 ▲보안이 확실하지 않은 웹사이트 방문 자제 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램의 최신 버전 유지 및 보안패치 적용 ▲V3 등 백신 프로그램 최신버전 유지 및 실시간 검사 실행 등 필수 보안 수칙을 실행해야 한다.
박태환 안랩 ASEC대응팀장은 “포털 사이트와 같이 신뢰할 수 있는 사이트를 사칭하는 수법은 지속적으로 등장하고 있다”며 “최근 PC뿐 아니라 모바일 환경까지 타깃으로 한 피싱 페이지도 제작되는 만큼 출처가 불분명한 URL과 파일은 실행하지 않는 등의 각별한 주의가 필요하다”고 말했다.
강동식 기자 lavita@datanews.co.kr