2013.09.24

파밍 악성코드 피해 확산, 일반 웹서비스 방문만으로도 감염되는 상황을 동영상으로 시연...빛스캔

이대영 기자 | ITWorld
파밍 악성코드로 인한 피해가 확산되는 가운데, 일반 웹서비스 방문만으로 감염되는 사례를 동영상으로 시연한 업체가 있어 주목받고 있다.

최근 파밍으로 인해 자신의 계좌에 돈이 빠져 나가는 피해를 입은 이들이 속출하고 있다. 다음 사진은 9월 23일 네이버 지식IN에 올라온 파밍 피해 사례다.



이에 대해 이미 올해 초부터 금융정보 탈취형 악성코드가 대량으로 유포되고, 확산되고 있음을 꾸준히 알렸던 빛스캔은 현재 금융정보 탈취를 통해 확인된 피해액이 지난해 피해금액을 넘어선 상태이며, 전체 피해는 아주 높은 수준으로 증가할 것으로 예상하면서 앞으로도 개인 사용자의 파밍 피해는 계속 증가할 것이라고 경고했다.

또한 불법 다운로드나 의심되는 사이트 접속이 아닌 일반적인 사이트에서 감염이 된 현 상황에서는 일반 사용자들은 감염 여부를 도저히 판단할 수 없다고 주장했다.

빛스캔 전상훈 CTO는 "개인 사용자의 피해사례는 이미 네이버의 자동 검색어로 등록될 정도로 감염이 심각해졌다"며, "감염의 심각성은 나날이 가중될 것"이라고 말했다.  

빛스캔 측은 웹서비스 방문만으로도 악성코드에 감염, 금융정보가 탈취되는 사례를 동영상으로 시연하면서 이는 개인 사용자의 주의만으로는 피해를 줄일 수 없는 상황에 이르렀다고 밝혔다.

해당 동영상은 다음과 같은 순서로 이뤄진다.

1. 정상 은행 사이트에 접속한다.


2. 웹 사이트 한 곳에 방문한다. 이 사이트는 오래된 악성코드 유포 사이트다. 한주에 최소 수백 개의 사이트가 감염되고 있다.  


3. 웹 브라우저 종료 후 재접속해 정상 은행 주소를 직접 입력해도 파밍 사기 사이트로 이동된다.


4. 해당 사이트는 정상적인 은행 사이트로 보이지만, 파밍된 상황이다.

5. 이런 사용자 추가 본인 확인란 창에 뜬 기억이 있다면, 이미 자신의 PC는 감염이 된 상황이다. 최근에는 보안카드 일련번호 전체를 요구하지 않는 경우도 있다.  


6. 24시간 이후 인터넷 뱅킹을 이용하라는 공지가 뜬다면, 이 또한 이미 파밍에 당한 것이다. 곧바로 인터넷 은행 거래를 중지시켜야 한다.

빛스캔은 매주 수백여 곳의 웹사이트에 방문만 해도 감염되는 악성코드들이 설치되며, 이 악성코드들은 백신 탐지도 상당부분 안되는 상황이어서 일반 사용자들은 아무리 주의를 해도 감염됐다는 사실을 인지하기 어렵다고 밝혔다.

특히 추석 연휴때부터 파밍과 백도어 악성코드인 soae.exe가 유포되어 수백 여 사이트가 악성코드 감염에 이용되고 있다(24일 현재 이 악성코드는 국내 백신으로는 안랩 V3만 감지하고 있다).

문제는 이런 파밍에 쓰이는 악성코드가 한두 종류가 아니라는 점이다. 전상훈 CTO는 "soae 이외에도 파일은 여러 개다. 추석 연휴 때 유포된 악성코드만 해도 pop, disk, kbs, mbc, 1986 등 동일한 C&C에 의해 조정되는 악성 파일들을 계속 변경되면서 유포되고 있다"고 말했다. 

임채호 KAIST 정보보호대학원 보안연구센터 초빙교수는 "APT에 쓰이는 악성코드는 1bit만 수정해도 탐지당하지 않기 때문에 신종 악성코드를 무한대로 찍어낼 수 있다"고 말했다.

* 빛스캔은 2년 이상을 웹을 통한 대규모 악성코드 유포를 모니터링하고 있으며, PCDS(Pre Crime Detect Satellite)를 활용하여 대규모 유포를 사전 감지함으로써 사건/사고의 발생 이전에 경고하고 있다. editor@itworld.co.kr


2013.09.24

파밍 악성코드 피해 확산, 일반 웹서비스 방문만으로도 감염되는 상황을 동영상으로 시연...빛스캔

이대영 기자 | ITWorld
파밍 악성코드로 인한 피해가 확산되는 가운데, 일반 웹서비스 방문만으로 감염되는 사례를 동영상으로 시연한 업체가 있어 주목받고 있다.

최근 파밍으로 인해 자신의 계좌에 돈이 빠져 나가는 피해를 입은 이들이 속출하고 있다. 다음 사진은 9월 23일 네이버 지식IN에 올라온 파밍 피해 사례다.



이에 대해 이미 올해 초부터 금융정보 탈취형 악성코드가 대량으로 유포되고, 확산되고 있음을 꾸준히 알렸던 빛스캔은 현재 금융정보 탈취를 통해 확인된 피해액이 지난해 피해금액을 넘어선 상태이며, 전체 피해는 아주 높은 수준으로 증가할 것으로 예상하면서 앞으로도 개인 사용자의 파밍 피해는 계속 증가할 것이라고 경고했다.

또한 불법 다운로드나 의심되는 사이트 접속이 아닌 일반적인 사이트에서 감염이 된 현 상황에서는 일반 사용자들은 감염 여부를 도저히 판단할 수 없다고 주장했다.

빛스캔 전상훈 CTO는 "개인 사용자의 피해사례는 이미 네이버의 자동 검색어로 등록될 정도로 감염이 심각해졌다"며, "감염의 심각성은 나날이 가중될 것"이라고 말했다.  

빛스캔 측은 웹서비스 방문만으로도 악성코드에 감염, 금융정보가 탈취되는 사례를 동영상으로 시연하면서 이는 개인 사용자의 주의만으로는 피해를 줄일 수 없는 상황에 이르렀다고 밝혔다.

해당 동영상은 다음과 같은 순서로 이뤄진다.

1. 정상 은행 사이트에 접속한다.


2. 웹 사이트 한 곳에 방문한다. 이 사이트는 오래된 악성코드 유포 사이트다. 한주에 최소 수백 개의 사이트가 감염되고 있다.  


3. 웹 브라우저 종료 후 재접속해 정상 은행 주소를 직접 입력해도 파밍 사기 사이트로 이동된다.


4. 해당 사이트는 정상적인 은행 사이트로 보이지만, 파밍된 상황이다.

5. 이런 사용자 추가 본인 확인란 창에 뜬 기억이 있다면, 이미 자신의 PC는 감염이 된 상황이다. 최근에는 보안카드 일련번호 전체를 요구하지 않는 경우도 있다.  


6. 24시간 이후 인터넷 뱅킹을 이용하라는 공지가 뜬다면, 이 또한 이미 파밍에 당한 것이다. 곧바로 인터넷 은행 거래를 중지시켜야 한다.

빛스캔은 매주 수백여 곳의 웹사이트에 방문만 해도 감염되는 악성코드들이 설치되며, 이 악성코드들은 백신 탐지도 상당부분 안되는 상황이어서 일반 사용자들은 아무리 주의를 해도 감염됐다는 사실을 인지하기 어렵다고 밝혔다.

특히 추석 연휴때부터 파밍과 백도어 악성코드인 soae.exe가 유포되어 수백 여 사이트가 악성코드 감염에 이용되고 있다(24일 현재 이 악성코드는 국내 백신으로는 안랩 V3만 감지하고 있다).

문제는 이런 파밍에 쓰이는 악성코드가 한두 종류가 아니라는 점이다. 전상훈 CTO는 "soae 이외에도 파일은 여러 개다. 추석 연휴 때 유포된 악성코드만 해도 pop, disk, kbs, mbc, 1986 등 동일한 C&C에 의해 조정되는 악성 파일들을 계속 변경되면서 유포되고 있다"고 말했다. 

임채호 KAIST 정보보호대학원 보안연구센터 초빙교수는 "APT에 쓰이는 악성코드는 1bit만 수정해도 탐지당하지 않기 때문에 신종 악성코드를 무한대로 찍어낼 수 있다"고 말했다.

* 빛스캔은 2년 이상을 웹을 통한 대규모 악성코드 유포를 모니터링하고 있으며, PCDS(Pre Crime Detect Satellite)를 활용하여 대규모 유포를 사전 감지함으로써 사건/사고의 발생 이전에 경고하고 있다. editor@itworld.co.kr


X