Boris's Lab

10대 청소년들의 사이버 공격이 문제가 되고 있습니다. 인터넷 상에 각종 사이버 범죄를 쉽게 접할 수 있는 환경이 조성되다보니 이러한 범죄행위를 접하는 나이대가 점점 줄고 있고 문제는 죄의식 없이 자신이 기분이 나쁘다는 이유로 공격을 행하는 경우가 생기고 있다는 것입니다. 

특히나 인터넷 상에 돌아다니는 각종 해킹툴은 사용법이 간단한데 비해 위험성은 매우 크다보니, 그 만큼 툴을 가지고 공격을 행하는 청소년들이 굉장히 증가하고 있는 것입니다. 중학생 2명이 이러한 범죄에 가담했다는 것에 소름이 끼칩니다. 

IT기술 뿐만 아니라 윤리의식 또한 발전해야 한다는 것을 절실히 보여주는 예입니다. 

http://mcaf.ee/4wbjn

이미 예상했던 예견되었던 부분이 아닌가 싶습니다. 디아블로3의 인기는 국내는 물론 세계적으로 엄청난 인기를 얻었고, 이러한 상황을 크래커가 가만히 보고 있을 수는 없을 것입니다. 특히나 디아블로3 플레이 과정에서 조금더 빨리 게임을 진행하고 레벨을 올리고자 핵 프로그램을 구한다는 사실은 누구나 다 아는 사실입니다. 

이번에 발견된 악성코드는 단순히 디아블로를 넘어서 타 게임/포털사이트 계정 정보까지도 유출하는 기능을 가지고 있기 때문에 단순 게임계정 뿐만아니라 이용하는 사이트/게임 모두에게서 피해가 발생할 수 있습니다. 

바이러스가 백신에 의해 감지되기 이전에 이미 수많은 다운로드가 이루어졌고, 그에 따른 피해가 발생했으리라 생각합니다. 평소에 파일을 다운 받을 때 조심해질 필요가 있습니다. 특히나 게임핵의 경우 정상적인 기능을 하더라도 악성코드를 같이 심어놓는 경우가 있기 때문에 겉으로 감염 사실을 알아채기 힘듭니다. 

http://mcaf.ee/h3z7t

최근에 나타나는 인터넷 피싱은 은행홈페이지와 매우 유사한 홈페이지를 제작한 뒤 마치 현재 사용자가 가지고 있는 계좌의 보안을 향상시켜야 한다며, 해당 피싱사이트를 접속하도록 유도하는 문자를 전송하고 있습니다. 

실제 이 피싱사이트에 접속하면 각종 계좌정보(보안카드 정보, 비밀번호)를 묻는 페이지가 나타납니다. 자신의 계좌정보를 입력할 경우 해당 정보가 외부로 유출되며 계좌내의 돈이 인출됨은 물론, 해당 명의로 대출 등등 각종 금전적 피해가 발생할 수 있습니다. 

이 피싱사이트의 특징을 알아보고, 페이지를 세부적으로 뜯어보겠습니다. (예시로 www.kbhsg.net 를 이용했습니다.)

공식사이트와 피싱사이트의 차이를 보면, 실제 보안강화 서비스 신청하기 라는 팝업 외에는 전혀 차이가 없다는 것을 알 수 있습니다. 피싱사이트의 메뉴, 공지등등 모두 공식홈페이지와 연결되어 있어 모두 정상적으로 작동하고 있습니다. 제작자가 원하는 것은 팝업창 내의 보안강화 서비스 신청하기 라는 버튼을 클릭하는 것 입니다.

버튼을 클릭하니 index.html 으로 넘어갑니다. 이 페이지에서는 마치 보안프로그램이 작동하기 위해 로딩이 되고있는 듯한 가짜 로딩페이지입니다. 과거 은행피싱사이트와는 다른 점이 있다면, 이 처럼 보안프로그램이 마치 존재하는 신뢰있는 이미지를 심어주기 위한 페이지가 추가적으로 삽입되었습니다. (로딩이미지 : img/progress_sec.swf)

페이지 내의 소스를 보니 중국어로 주석이 달려있는 것을 볼 수 있습니다. 중국에서 소스가 제작되었다는 것을 의심해볼 수 있습니다. 또한 로딩페이지 이후에 다른 페이지로 넘어가는 소스가 존재합니다만, 크롬에서는 정상적으로 작동하지 않아 계속해서 로딩만 계속되는 증상이 나타났습니다. 

(iframe 형식의 페이지 이동 : <iframe id="demo" src="main.aspx" width="100%" height="1800px" frameborder="0" scrolling="no" marginheight="0"></iframe>)

그리고, 실제로 보안프로그램이 설치되지 않았음에도 어떠한 설치과정도 존재하지 않으며, 보안프로그램을 실행하는 소스 조차 없습니다. 즉, 단순히 사용자를 속이기 위한 페이지라는 것을 알 수 있으며, 소스에 중국어를 남길 정도로 페이지가 매우 조잡하게 제작되었음을 알 수 있습니다. 

로딩페이지가 잠깐 나타나고 약 30초 후 main.aspx 로 페이지가 이동했습니다. 이 페이지가 피싱사이트의 가장 핵심되는 페이지 입니다. 뒷 배경은 KB국민은행의 보안서비스를 관리하는 페이지로써 마치 정상적인 보안강화서비스 인 것 처럼 꾸며놓았습니다. 그리고 페이지 중앙에는 개인정보와 보안카드, 계좌정보를 입력하는 페이지가 나타나며, 실제 보안승급과는 다르게 무리한 개인정보를 입력하도로 하고 있습니다.

(입력 값 체크 : js/check.js, 주민등록번호 유효성 검사 및 기타 데이터 전송 : js/function_utill.js)

가짜 정보를 입력하더라도 어떠한 에러가 나타나지 않기 때문에 가짜 페이지임을 알 수 없습니다. 또한, KB국민은행에서는 플래시메뉴의 링크를 상대주소로 제작하였기 때문에 실제 서브메뉴가 전혀 작동하지 않음을 알 수 있습니다. 

 < 주소 https:// 를 확인하라! >

무엇보다 KB국민은행에서는 현재 피싱사이트를 구별하는 방법으로 사이트 주소의 시작이 https:// 인지 확인해 볼 것을 권고하고 있습니다. https:// 는 기존의 http:// 과 달리 정보가 암호화 전송되고 있음을 의미하며, 인증된 사이트에 한해서만 사용이 가능한 것이기 때문에 피싱사이트에서는 함부로 구현할 수 없는 방식입니다. 

과거에는 홈페이지 접속 시 시작페이지 부터 보안프로그램이 실행되는지 여부를 통해 피싱사이트를 구별하였지만, 최근에는 크롬/파이어폭스 와 같은 보안프로그램이 자동으로 설치되기 어려운 환경의 브라우저 이용자수가 증가함에 따라 공식사이트에서도 이용자를 보호하기 위해 보안프로그램을 설치해야 접속할 수 있는 페이지를 줄여나가고 있습니다. 즉, 보안프로그램 실행여부로 피싱사이트를 구별하기 어려워 졌다는 것입니다.

이러한 범죄가 끊임없이 발생하고 있다는 것은 그만큼 피해가 꾸준히 발생하고 있다는 의미이기도 합니다. 보이스피싱과 비교해보면 많은 인력이 필요하지 않고, 항상 상주해 있을 필요가 없으니 그만큼 범죄자들에게는 인터넷 피싱이 매력적으로 보일 수 밖에 없습니다. 

너무나 많은 개인정보를 요구할 경우 한번 쯤 의심해보시기 바랍니다.