 |
| 국내 유명 여행사 홈페이지의 네이버 계정 탈취 URL 삽입 정황.(사진제공=MDsoft) |
국민 모두가 ‘장미대선’에 시선을 둔 사이, 국내의 유명 여행사 홈페이지에 악성코드가 삽입돼 이용자의 개인정보가 탈취된 정황이 포착됐다. 4월 말부터 5월 초순까지 긴 연휴기간 동안 여행업계가 성수기였다는 점을 감안하면, 탈취된 개인정보의 양은 파악하기조차 어려울 정도일 것으로 분석된다.
이같은 정황은 보안취약시기인 5월초, 아시아뉴스통신과 MDsoft(대표 백진성)가 망고스캔을 통해 분석해 파악할 수 있었다.?
분석결과 불상의 공격자가 이 여행사 홈페이지를 공격, 홈페이지 이용자의 네이버 계정 탈취를 위한 URL과 악성코드를 삽입한 것이 확인됐다.?
이 여행사의 홈페이지는 9일 현재에도 조치가 전혀 이뤄지지 않고 있다.?
MDsoft의 한 관계자는 "제19대 대통령 선거와 각종 공휴일 여파로 인해 다수의 기업이나 기관들이 단기간 연휴에 접어들었고, 국내 여행업계가 성수기에 들어가면서, 여행을 계획하는 사람들이 여행사 사이트에 접속하는 일이 잦은 점을 노려 여행사 사이트 방문자를 대상으로 네이버 계정 탈취를 시도한 것으로 보인다"고 분석했다.
?
 |
| 디자인 커뮤니티 사이트내 네이버 계정 탈취 URL 삽입 정황.(사진제공=MDsoft) |
이와함께 국내 디자인 관련 커뮤니티 사이트도 마찬가지의 공격을 당한 정황이 포착됐다.
이 디자인 커뮤니티 사이트 하위페이지 가운데 일부에, 이용자의 네이버 계정 탈취를 위한 URL과 악성코드가 삽입된 것이 망고스캔에 의해 드러났다. 이 URL과 악성코드는 앞서 분석한 여행사 공격자의 것과 동일했다.
이 공격자는 보안장비와 시스템의 탐지를 회피하기 위해서 네이버 계정 탈취 페이지를 직접 연결하지 않고 유포사이트와 탈취 페이지를 연결해주는 중계페이지 주소를 각각의 유포사이트에 삽입해 둬 탐지를 회피하는 치밀함도 보였다.
?
 |
| OO무역 쇼핑몰 하위 페이지가 악성코드 유포 및 네이버 계정 탈취 중계 페이지로 활용된 정황.(사진제공=MDsoft) |
이는 계정 탈취페이지가 탐지돼 접속이 차단되는 경우에도 중계페이지를 통해 또다시 다른 계정 탈취 페이지를 입력하면 대응을 할 수 없다는 점을 이용한 것으로 분석된다.
MDsoft 관계자는 "보안 취약기간인 4월 말 5월 초순 이 사이트를 이용한 사용자의 경우, 비밀번호를 반드시 변경해야 하고, OTP(One Time Password) 설정을 통해 계정 보호에 만전을 기해야 한다"며?"인터넷 서핑을 하거나 자주 방문하는 페이지를 접속했을 때 포털사이트 및 기타 개인정보 입력페이지가 나타난다면 무작정 입력하는 것보다, 해당 페이지의 주소가 진짜 주소가 맞는지 여부를 확인하는 것이 중요하고, 구글 크롬 브라우저 사용자인 경우는 주소 표시줄 옆에 나타나는 '안전하지 않음' '위험' '안전' 등의 표시를 확인하고 정보를 입력하는 것이 중요하다"고 조언했다.
?
 |
| 브라우저별 네이버 로그인 페이지 출력결과.(사진제공=MDsoft) |
한편 전문가들은 "이같은 악성코드 문제를 해결하기 위해서는 기업 및 기관의 보안교육과 악성코드에 대한 인식 제고가 필요하다"며 "개인 사용자는 알려지지 않은 웹사이트의 방문을 자제해야 하고, PC나 스마트폰 보안 업데이트를 최신으로 유지해야 한다"고 강조했다.
