 |
| 사진=픽사베이 |
안랩에 따르면 공격자는 유명 포털사이트의 보안 프로그램 다운로드 고객 안내 페이지를 가장한 피싱 페이지를 만들었다. 사용자가 해당 피싱 페이지에 접속할 때 접속 기기 환경에 맞는 웹 페이지가 나타나도록 교묘하게 제작했다. 또한 보안 프로그램 설치파일을 위장한 악성코드도 접속기기에 따라 PC 다운로드 시 압축파일(.zip)을, 스마트폰 다운로드 시 앱 설치파일(.apk)을 내려 받도록 설계했다.
가짜 보안 프로그램 설치 위장 피싱페이지에 접속하면 보안 프로그램 다운로드라는 링크가 나타난다. 이를 클릭하면 악성코드 실행 파일(.exe)이 압축된 압축 파일(.zip)이 다운로드된다.
사용자가 속아 해당 파일을 내려 받아 압축해제하고 실행하면 악성코드에 즉각 감염된다. 이와 동시에 사용자 화면에는 ‘보안 프로그램이 성공적으로 설치되었습니다’라는 대화상자가 나타나 사용자가 악성코드 감염을 인지하기 어렵다.
감염 이후 악성코드는 사용자 PC의 IP, 윈도 운영체제 버전 정보, 드라이브 정보 등을 C&C(Command & Control) 서버로 전송한다. C&C 서버는 공격자가 악성코드를 원격 조정하기 위해 사용하는 서비를 말한다. 또한 추가 악성코드를 사용자 PC로 다운로드해 악성 행위를 지속 수행한다.
스마트폰 환경도 마찬가지다. 해당 피싱사이트에 접속하면 모바일 웹 페이지로 구성한 ‘보안 프로그램 설치 위장 피싱 페이지’가 나타난다. 이어 보안 앱 다운로드 링크가 나타나고 이를 클릭하면 보안 프로그램으로 위장한 악성앱 설치 파일(.apk)이 다운로드된다.
만약 사용자가 무심코 설치파일을 실행하면 악성앱이 설치되며 해당 악성 앱은 사용자 몰래 단말기 전화번호, 고유번호(IMEI) 등 개인정보를 수집해 C&C 서버로 전송한다.
안랩은 이와 같은 피해를 예방하려면 △출처가 불분명한 메일 내 URL 및 첨부파일 실행금지 △보안이 확실하지 않은 웹사이트 방문 자제 △OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램의 최신 버전 유지 및 보안 패치 적용 △V3 등 백신 프로그램 최신버전 유지 및 실시간 검사 실행 등 필수 보안 수칙을 실행해야 한다고 강조했다.
박태환 안랩 ASEC대응팀 팀장은 “포털 사이트와 같이 신뢰할 수 있는 사이트를 사칭하는 수법은 지속적으로 등장하고 있다”며 “최근 PC는 물론 모바일 환경까지 타깃으로 한 피싱 페이지도 제작돼 출처가 불분명한 URL과 파일은 실행하지 않도록 각별한 주의가 필요하다”고 말했다.
김상우 기자 ksw@viva100.com
