2015.10.01 안랩, 유명 포털 사이트 위장한 피싱 웹사이트 주의 당부

- 사용자 아이핀 계정 탈취, 악성코드 유포 목적의 정교한 가짜 포털 웹사이트 발견

- 의심 웹 사이트 방문 및 메일/SNS내 URL실행 자제, 응용프로그램 최신 버전 유지, 백신 업데이트 및 실시간 감시 필수

 

안랩(대표 권치중, www.ahnlab.com)은 최근 유명 포털 사이트로 위장한 피싱 사이트(보충자료 1 참조)에서 사용자의 아이핀 계정을 탈취하거나, 해당 피싱 사이트에서 악성코드를 유포하는 사례가 발견되어 사용자의 주의가 필요하다고 밝혔다.

 

[아이핀 계정 탈취 피싱 사이트 사례]

공격자는 유명 포털 로그인 화면으로 위장한 피싱 사이트를 제작하고, 사용자의 아이핀(i-PIN) 정보(보충자료 2 참조) 탈취를 시도했다. 먼저 사용자가 메일, SNS에 첨부된 URL 등 다양한 경로로 포털 로그인 창을 위장한 피싱 사이트에 접속하면, 유명 포털을 사칭해 아이디/비밀번호를 요구하는 가짜 로그인 화면이 뜬다.

 

사용자가 해당 창에 아이디/비밀번호를 입력하면, 실제와 유사하게 제작된 가짜 아이핀 인증 사이트로 연결된다. 이 사이트에서는 아이핀 아이디/비밀번호/2차 비밀번호까지 모두 입력하도록 유도한다. 이 때 사용자가 입력하는 정보는 모두 공격자에게 전송된다.

 

이번에 발견된 포털 사칭 피싱 사이트(보충자료 3 참조)는 해당 포털 사이트의 최신 버전 로그인 화면이 아닌, 구(舊) 버전 화면을 사용하고 있는 것이 특징이다.

 

[악성코드 유포 피싱 사이트 사례]

공격자는 사용자가 구분이 어려울 정도로 유사한 웹사이트 주소(URL)와 웹사이트의 화면 구성으로 사용자를 속인다. 사용자가 페이지 상단에 삽입된 특정 이미지를 클릭하면 악성코드에 감염되도록 피싱 사이트를 제작했다(보충자료 3 참조).

 

현재는 삽입된 이미지를 클릭해야 악성코드에 감염되지만, 공격자의 의도에 따라 접속만 해도 악성코드에 감염되도록 설정을 변경할 수도 있어 특히 주의가 필요하다.

 

해당 악성코드는 감염 이후 특정 C&C 서버(Command & Control, 공격자가 악성코드를 원격 조종하기 위해 사용하는 서버)로 접속을 시도해 시스템 정보를 탈취하는 등 공격자의 특정 명령을 받아 수행한다. 공격자의 목적에 따라 다양한 악성코드 추가 설치 및 실행이 가능해 사용자의 주의가 필요하다. 현재 V3 제품군은 해당 악성코드를 진단하고 있다.

 

피싱 피해를 예방하기 위해서는 ▲의심되는 웹사이트 방문 및 메일/SNS의 URL 실행 자제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.

 

안랩 ASEC대응팀 박태환 팀장은 “피싱 사이트는 포털을 비롯, 공공기관, 중고 거래 사이트 등 다양한 형태로 제작되고 있다”며 “사용자의 추가 정보를 탈취하거나 악성코드 유포 등의 행위를 시도하는 형태로 진화하고 있어 평소 출처가 불분명한 URL을 보면 주의하는 습관이 필요하다”고 밝혔다.

 

 

[보충자료]

1. 피싱

금융거래정보 획득 등을 목적으로 공격자가 은행/포털 등의 홈페이지와 매우 유사하게 모방한 가짜 사이트를 만들어 개인/금융 정보를 입력하도록 하는 공격. 피해자들을 유도하기 위해 인지하기 어려운 변조 URL을 사용한다(ex. www.ahnllab.com 등).

 

2. 아이핀

아이핀(i-PIN)은 ‘인터넷 개인 식별 번호’(Internet Personal Identification Number)의 약자로 주민등록번호 대신 인터넷상에서 신분을 확인하는 데 쓰인다.

 

3. 피싱 페이지 이미지 자료

1) 포털 로그인화면 사칭 피싱 사이트 비교

 

2) 악성코드 배포 피싱사이트 사진