본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

감쪽같은 가짜 포털 사이트, 속지 마세요!

by 파스칼바이런 2015. 9. 30.

감쪽같은 가짜 포털 사이트, 속지 마세요!

AhnLab / 2015-09-23

 

 

 

 

많은 사람들이 이용하는 유명 포털 사이트로 위장한 피싱 사이트가 지속적으로 나타나는 가운데 최근 더욱 교묘한 방식을 이용해 진화하는 양상을 보이고 있다. 지금까지 유명 포털 사이트로 위장한 피싱 사이트는 대부분 사용자의 계정 정보를 탈취했던 반면, 최근 발견된 피싱 사이트는 악성코드를 유포하거나 아이핀(i-PIN) 등 개인정보 탈취를 목적으로 하고 있어 사용자들의 각별한 주의가 요구된다. 이 글에서는 국내 주요 포털 사이트로 위장한 최신 피싱 사이트 사례 2건을 소개한다.

 

아이핀까지 탈취하는 피싱 사이트 등장

 

이번에 발견된 모 포털 사이트로 위장한 피싱 사이트는 포털 계정 정보뿐만 아니라 아이핀(i-PIN)정보까지 탈취하는 것으로 확인되었다.

 

포털 사이트로 위장한 피싱 사이트에서 로그인하기 위해 아이디와 패스워드를 입력하면 실명(본인) 확인을 요구하며 [그림 1]과 같이 아이핀 인증 페이지로 연결된다. 그러나 이 또한 정상 아이핀 인증 페이지를 유사하게 모방한 가짜 페이지로, 아이핀 ID뿐만 아니라 2차 비밀번호까지 입력하도록 유도하고 있다.

 

[그림 1] 가짜 아이핀 인증 페이지

 

한편 공격자는 사용자를 속이기 위해 [그림 2]와 같이 모 포털 사이트의 로그인 화면을 교묘하게 모방했다. 그러나 자세히 살펴보면 이 로그인 화면은 모 포털 사이트의 예전 로그인 페이지로, 현재 해당 포털 사이트의 로그인 화면과는 다소의 차이가 있음을 알 수 있다.

 

[그림 2] 포털 사이트 정상적인 로그인 화면(왼쪽)과 피싱 사이트의 가짜 로그인 화면(오른쪽)

 

악성코드를 유포하는 피싱 사이트

 

또 다른 피싱 사이트 역시 또 다른 유명 포털 사이트로 위장하고 있다. 기존의 피싱 사이트는 대부분 정상 사이트와 매우 유사하게 제작된 가짜 페이지를 이용했다. 그러나 이번에 발견된 피싱 사이트는 유명 포털 사이트와 유사한 도메인을 사용하고 있으며 정상 포털 사이트를 보여줌으로써 완벽하게 사용자의 의심을 피하고 있다.

 

[그림 3] 가짜 포털 사이트와 소스코드 확인 내역

 

해당 피싱 사이트의 소스코드를 확인해보면 자바스크립트를 이용하여 정상 포털 사이트를 로드하여 보여주고 있다. 또한 이 사이트의 페이지 상단에는 아이프레임(ifame) 태그를 이용하여 악성코드를 다운로드하는 이미지 아이콘을 삽입해두었다. 사용자가 이 아이콘을 클릭하면 악성코드가 다운로드 된다.

 

이렇게 사용자 PC에 다운로드 된 악성코드가 실행되면 추가로 악성코드를 생성하고 자동으로 실행하기 위해 레지스트리를 조작한다. 또한 지속적으로 C&C 서버로의 연결을 시도하며 시스템 정보 탈취, 추가 악성코드 다운로드 등 악의적인 행위를 수행한다. 이 외에도 사용자가 악성코드 감염 사실을 알게 되어 OS 복원을 통해 감염 이전 시점으로 OS를 되돌리는 것을 방해하기 위해 윈도우 복원과 관련된 레지스트리도 조작한다.

 

지금까지 살펴본 바와 같이 최신 피싱 사이트는 매우 정교하게 제작되어 가짜 여부를 판단하기 쉽지 않다. 교묘하게 진화하는 피싱 사이트로부터 벗어나기 위해서는 시스템의 hosts파일이 변조되지 않았는지 상시 확인하는 것이 바람직하지만 일반 사용자들에게는 쉽지 않다.

 

이와 관련해 안랩은 [그림 4]와 같이 V3 365 클리닉 등 V3 제품군의 ‘웹 보안’ 기능을 통해 피싱 사이트나 불필요한 사이트를 사전에 차단해주고 있다.

 

[그림 4] ‘V3 365 클리닉’ 제품의 ‘웹 보안’ 기능

 

이 밖에도 평소 웹 사이트의 주소 표시줄에 나타나는 URL을 확인하는 습관을 갖는다면 피싱 사이트에 의한 피해를 최소화하기 할 수 있을 것이다.