안랩이 18일 최근 유명 포털사이트의 ‘보안 프로그램 다운로드’ 고객 안내 페이지를 위장해 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부했다.
안랩에 따르면 먼저 공격자는 유명 포털사이트의 ‘보안 프로그램 다운로드’ 고객 안내 페이지를 가장한 피싱 페이지를 만들었다.
사용자가 해당 피싱 페이지에 접속할 때 접속 기기 환경에 맞는 웹 페이지가 나타나도록 교묘하게 제작한 것이 특징이다. 이와 함께 보안 프로그램 설치파일을 위장한 악성코드도 접속 기기에 따라 PC에서 다운로드시 압축파일(.zip)을, 스마트폰에서 다운로드시 앱 설치파일(.apk)을 내려 받도록 설계했다.
가짜 ‘보안 프로그램 설치 위장 피싱페이지’ 접속시 ‘보안 프로그램 다운로드’라는 링크 버튼이 나타나며 이를 클릭하면 악성코드 실행 파일(.exe)이 압축된 압축 파일(.zip)이 다운로드된다.
사용자가 속아 해당 파일을 내려받아 압축해제하고 실행하면 악성코드에 감염된다. 이와 동시에 사용자 화면에는 ‘보안 프로그램이 성공적으로 설치되었습니다’라는 대화상자가 나타나기 때문에 사용자가 악성코드 감염을 인지하기 어렵다.
감염 이후 악성코드는 사용자 PC의 IP, 윈도 운영체제 버전 정보, 드라이브 정보 등을 C&C(Command & Control) 서버(공격자가 악성코드를 원격 조종하기 위해 사용하는 서버)로 전송한다. 또 추가 악성코드를 사용자 PC로 다운로드해 악성 행위를 지속 수행한다.
스마트폰 환경에서 해당 피싱사이트에 접속하면 모바일 웹 페이지로 구성한 ‘보안 프로그램 설치 위장 피싱 페이지’가 나타난다. 또 ‘보안 앱 다운로드’ 링크 버튼이 나타나며 이를 클릭하면 보안 프로그램으로 위장한 악성앱 설치 파일(.apk)이 다운로드된다.
만약 사용자가 무심코 설치파일을 실행하면 악성앱이 설치되며 해당 악성 앱은 사용자 몰래 단말기 전화번호, 고유번호(IMEI) 등 개인정보를 수집해 C&C 서버로 전송한다.
안랩은 이와 같은 피해를 예방하기 위해 출처가 불분명한 메일 내 URL 및 첨부파일 실행금지, 보안이 확실하지 않은 웹사이트 방문 자제, OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램의 최신 버전 유지 및 보안 패치 적용, V3 등 백신 프로그램 최신버전 유지 및 실시간 검사 실행 등 필수 보안 수칙을 실행해야 한다고 권고했다.
안랩 ASEC대응팀 박태환 팀장은 “포털 사이트와 같이 신뢰할 수 있는 사이트를 사칭하는 수법은 지속적으로 등장하고 있다”며 “최근 PC 뿐 아니라 모바일 환경까지 타깃으로 한 피싱 페이지도 제작되는 만큼 출처가 불분명한 URL과 파일은 실행하지 않는 등의 각별한 주의가 필요하다”고 강조했다.
한편 안랩은 V3(PC용, 스마트폰용)는 해당 악성코드를 모두 진단 중이며 피싱 페이지 URL 주소 또한 차단하고 있다고 전했다.[파이낸셜신문=이광재 기자 ]
