가짜 인터넷 뱅킹 사이트로 사용자를 유도해 개인정보유출, 자금인출 등을 시도하는 파밍용 악성코드가 공격수법을 바꿨다. 국내 감시망을 뚫기 위해 중국 등 해외IP주소를 보다 많이 사용하기 시작했다는 분석이다.
23일 순천향대 사이버보안연구센터는 최근 국내 인터넷 뱅킹 서비스에 대한 파밍 공격에 이용되는 악성코드 유포 방식이 변화됐다고 밝혔다.
최근까지 한국인터넷진흥원(KISA) 등 정부유관기관은 파밍 공격에 악용돼 온 국내 악성코드 유포지를 탐지해 악성링크 삭제 조치를 취해 왔다. 악성코드 유포가 확인된 도메인 주소(URL)를 확인한 뒤 해당 웹사이트 관리자에게 요청해 해당 사이트 내에 포함된 악성스크립트를 삭제토록 하는 방식이었다.
공격자들은 주로 보안에 취약한 국내 웹사이트를 해킹해 웹서버에 악성코드를 업로드 한 뒤 이 웹사이트의 URL을 악성코드 유포를 위한 주소로 악용해 왔다.
그러나 최근 공격에 악용된 웹사이트에 대한 신속한 조치가 이뤄지고 있는 탓에 공격자들은 악성코드가 좀 더 많은 인터넷 사용자 PC로 유포될 수 있도록 국내 도메인 주소보다는 식별돼도 악성코드 삭제가 어려운 해외 IP주소를 이용하고 있는 것으로 분석됐다.
연구센터에 따르면 최근 IP 기반 악성코드 유포지가 급증하고 있으며 지난해 12월 4주부터는 IP 기반 악성코드 유포지가 도메인 기반 악성코드 유포지를 넘어서고 있다.
관련기사
- 미래부 파밍알리미 효과↑…피해액 80%↓2014.01.23
- 보이스피싱·파밍·스미싱 예방법은?2014.01.23
- KISA, 파밍 악성코드 급증 주의보2014.01.23
- 사기 예방서비스 사칭 파밍수법 등장2014.01.23
SCH사이버보안연구센터 최상명 연구부장은 대부분 파밍 조직들이 '***.co.kr' 등 우리나라 도메인 주소를 해킹해 악성코드 유포 통로로 악용해 왔으나 최근 차단되는 사례가 많아지자 중국과 같이 IP주소를 기반으로 악성코드 감염을 시도하고 있다고 말했다.
중국IP를 악용할 경우 도메인 주소를 알기 어렵고, 설사 웹사이트 관리자를 알았다고 하더라도 삭제조치 등을 요청하기 어려운 문제가 생긴다.
