포털 사이트의 배너를 이용한 파밍 공격이 성행하고 있어 사용자들의 주의가 요구된다.
빛스캔(대표 문일준)은 11일 최신 파밍공격 동향을 분석한 보고서를 발표하고 “최근 공격자들은 메일이나 국내 대형 포털의 주소를 위장한 파밍 공격이 발견되고 있다”고 경고했다.
보고서에 따르면 올해 상반기 파밍으로 인한 피해 규모는 지난해 전체 피해금액을 상회하고 있으며, 인터넷 사이트를 방문하면 자동으로 감염되는 ‘드라이브 바이 다운로드(Drive by download)’ 기술을 이용해 파밍을 위한 악성코드를 배포하고 있어 심각한 문제가 되고 있다.
지난해 웹을 통한 악성코드 감염은 게임계정 탈취가 대세였으나, 올해 초 부터 금융 정보 탈취가 주를 이루고 있다. 초기 파밍은 금융기관의 도메인 주소를 공격자 IP로 지정하는 호스트 파일에 대한 변조가 주를 이뤘다. 이후 호스트 파일에 대한 모니터링과 감시가 강화되자 Hosts.ics 파일을 이용한 주소 변조가 다수를 이뤘다.
일반적으로 금융기관에 직접 접근 하는 횟수가 많지 않은 상황에서 공격자들은 추가적으로 메일 및 국내 대형 포털들의 주소까지도 위장해 사용자를 유인할 만큼 적극적인고 대범한 공격을 실행하고 있다.
포털 주소를 위장한 사례의 경우 가짜 사이트를 만들어서 연결되도록 하고 URL은 동일하더라도 공격자의 IP로 연결 되도록 한다. 실시간으로 뉴스와 기사가 업데이트 되는 포털의 변화가 관찰 되지 않으므로 조금만 주의를 기울이면 문제를 알 수 있다. 또한 전방위적으로 금융감독원을 사칭한 팝업창은 악성코드라는 주의가 다수의 언론매체를 통해 보도가 된 상황이라 사용자의 인지도는 높은 편이다.
9월초 처음 발견된 공격 유형은 팝업창이 아닌 배너를 이용한 것이었다. 팝업창에 대한 주의가 높아지면서 공격 형태를 변경한 것이다. 이 경우에도 실제 포털과는 관계 없는 공격자가 인위적으로 만든 포털 사이트 첫 화면에서 배너만 파밍 사이트로 연결되도록 구성한 것이다.
주된 공격 형태는 포털사이트의 주소와 주요 메일에 대한 주소를 호스트 파일과 Hosts.ics 파일을 통해 공격자의 파밍 사이트 주소로 설정해 둔 상태다. 10일 발견된 포털의 광고서버를 파밍 사이트 주소로 변경해 실제 포털 서비스에서 광고 영역만을 파밍 사이트 연결 배너로 교체했다.
파밍 사이트는 nv1.ad.naver.com 주소를 공격자의 IP로 변경하도록해 정상 포털에 접속해도 배너 광고만 공격자가 지정한 광고로 나타난다.
현재 9월 이후에 발견되는 공격들은 26일부터 실시되는 전자금융 사기 예방 서비스 시행안내를 역으로 파밍 공격에 이용하고 있다. 로그인 및 모든 포털 기능은 정상적으로 작동을 하며, 단지 배너 광고에 이용되는 도메인만 공격자가 만들어둔 파밍 사이트로 연결한다. 포털을 접속하면 광고만 공격자 IP로 연결 되며, 모든 서비스는 정상적이라 사용자가 의심하기 어렵다.
호스트파일 변조 내역에는 금융기관은 최소화하고, 배너 광고의 경우에도 포털의 배너 서버인 nv1.ad.naver.com 을 파밍 사이트로 연결 되도록 한 상황이라 탐지 여부를 인식하기에 어려움이 있다.
전상훈 빛스캔 이사는 “파밍 사이트 연결도 다양한 방식으로 시도되고 있고 파밍 IP들도 계속 변경 되고 있다. 근본적인 문제 해결은 웹을 통한 대량 악성코드 감염 시도에 대해 모니터링을 강화하고 초기 단계에서 피해 범위를 최소화 할 수 있는 다양한 노력으로 문제를 줄일 수 있도록 노력해야 한다”고 말했다.
