DDoS·피싱...'한국 맞춤형 공격' 줄이어

국내 PC, 스마트폰 사용자들을 겨냥한 맞춤형 악성코드가 보다 빠르고 조직적으로 전파되고 있는 것으로 나타났다.

우리나라는 전 세계에서 가장 빠른 인터넷속도를 자랑하고, 전체 인구 중 64% 이상인 3천200만명이 스마트폰을 사용하고 있는 만큼 분산서비스거부(DDoS) 공격이나 스마트폰용 악성코드의 전파 속도가 다른 나라에 비해 빠르다는 점이 해커들에게 주요 공격대상이 되고 있는 이유로 손꼽힌다.

14일 국내 보안업계에 따르면 대통령선거를 앞두고 DDoS 공격을 목표로 한 악성코드 수가 급증하고 있다. 또한 공공기관이 보급하고 있는 안드로이드 악성코드 감시용 애플리케이션이 구글 플레이스토어에 업데이트 되자마자 이를 악용한 스팸문자가 1시간만에 등장했다. 새로 발견된 이 악성코드는 하루 뒤 구글코리아의 신규서비스를 사칭한 안드로이드 악성앱의 변종파일로 발견되기도 했다.

가장 위험성이 높은 것은 대통령 선거를 일주일 가량 앞둔 시점에서 DDoS공격을 유발하기 위한 악성코드가 국내 인터넷 사이트를 통해 지속적으로 발견되고 있다는 점이다.

이에 대해 보안업체 빛스캔은 국내 웹사이트를 모니터링 해본 결과 국산 백신프로그램을 우회하면서 PC를 감염시키는 악성코드가 지난 주에만 300여곳 이상의 국내 주요 웹서비스를 통해 대량으로 유포되고 있는 것으로 확인됐다. 악성코드를 유포하는 경로로 사용되는 DDoS 공격모듈 중 새로 발견된 것만 12종으로 이중 6종은 아예 국내 백신은 물론 해외 백신 엔진을 통해서도 탐지가 불가능한 신종이라고 이 회사는 밝혔다.

단순히 한 두명 해커의 소행이 아니라 조직적으로 한국 상황을 모니터링 해 악성코드를 유포하고 있는 경향도 눈에 띈다.

한국인터넷진흥원(KISA)은 지난 12일 악성코드 감시용 앱인 '폰키퍼'에 실시간 감시기능과 정밀검사 기능을 추가해 업그레이드했다고 발표했다. KISA는 발표 하루 전날 구글 플레이 스토어에 업데이트 된 앱을 올렸다. 그 뒤 한 시간이 채 안 된 시점에서 개인정보유출방지 안전한 스마트폰 지킴이 폰키퍼 http://goo.gl/e313m이라는 문구를 담고 있는 스팸문자가 유포됐다.

스마트폰에서 이 문자의 홈페이지 주소(URL) 링크를 클릭하면 해커가 미리 설치해 둔 해외 서버로부터 해커의 명령을 수행하는 악성모듈이 포함된 앱이 설치된다. KISA측은 더구나 기존 폰키퍼와 화면 구성이 비슷해 각별한 주의가 필요하다고 당부했다.

이날 KISA는 악성 앱 유포 경로에 대해 즉각 차단조치를 했다. KISA관계자는 최근 방송통신위원회와 KISA를 사칭해 악성앱을 다운로드 받도록 유도하는 문자메시지가 많다며 이용자들은 링크를 클릭하지 말고 바로 삭제해야 한다고 밝혔다.

KISA 코드분석팀 이응재 팀장은 지금까지 약 12건의 스팸문자 민원신고가 접수돼 관련 내용을 발표하게 됐다고 설명했다.

지난 11일 구글 플레이 스토어에 폰키퍼를 업데이트 하자마자 이를 사칭한 스팸문자가 등장한 데 이어 이튿날인 12일에는 폰키퍼를 사칭한 악성링크에 사용된 것과 유사한 변종의 악성코드가 구글코리아 서비스 신규앱 출시 인터넷향상 업데이트 http://goo.gl/*****라는 문구를 포함한 스팸문자에서 확인됐다.

잉카인터넷 ISARC대응팀은 구글코리아의 신규 검색엔진을 사칭한 안드로이드 악성앱 링크가 폰키퍼를 사칭한 링크의 변종 악성코드로 추정된다고 밝혔다.

잉카인터넷 ISARC대응팀 문종현 팀장은 안드로이드 악성 앱 제작자들은 손쉽게 유포하기 위해 정상적인 앱으로 위장해 배포하는 수법을 사용하고 있으며, 특히 문자메시지를 통해 수신되는 단축 URL 주소를 각별히 주의해야 한다고 강조했다.