포털사이트 '줌닷컴' 이용한 파밍 플로팅배너 발견

포탈사이트 줌(Zum.com)을 이용한 파밍 플로팅배너

아주경제 장윤정 기자 = 사상 최대 공인인증서 폐기를 통한 이슈로 인해 파밍에  대해 관심이 높아진 상황에서 포털 사이트 방문 시 자동으로 연결되는 파밍 플로팅 배너가 극성이다.

특히 최근에는 네이버, 다음, 네이트 등 기존 포털에 이어 줌(Zum) 사이트를 통한 파밍 사이트까지 등장해 주의가 필요한 상황이다. 

국내 보안회사 빛스캔은 15일 기존 네이버, 다음, 네이트 등에 이어 줌 닷컴 사이트를 이용한 파밍 플로팅 배너를 발견했다고 밝혔다. 

파밍 플로팅 배너는 광고배너에 파밍광고를 넣어 이를 클릭하면 파밍사이트로 연결하는 악성코드다.

이는 공격자들이 사용자들이 가능한 눈치채지 못하게 파밍사이트로 이동시키는 방법으로 진화하는 파밍 악성코드 공격의 한 기법이다. 

사용자 PC에 취약성이 있을 경우 예를 들어 최신 백신, MS 등의 패치를 적용하지 않았거나 어도비, 플래시, 자바 등의 프로그램 최신 패치를 적용하지 않아 취약성이 있다면 줌 닷컴 사이트 방문 시 파밍 플로팅 배너를 이용한 악성코드에 감염될 수 있다. 

빛스캔은 "줌(Zum)은 최근 많은 사용자가 찾는 대중적인 사이트로 성장을 지속하고 있는 중이며 접속하는 사용자도 점차 증가하고 있는 상황"이라며 "다수의 사용자 감염을 노리는 공격자가 줌 닷컴도 공격 매개체로 활용, 줌을 이용하는 사용자들의 각별한 주의가 시급하다"고 경고했다.

이에 대해 줌 닷컴측은 "포털사이트를 이용한 파밍 악성코드 감염을 피하기 위해서는 사용자 주의가 가장 필요하다"며 "광고 배너, 제휴사이트 가기 등을 잘못 클릭할 경우 여러 악성프로그램들을 사용자가 모르는 사이 다운받게 하는 경우도 있어 PC의 감염을 막기 위해서는 세심히 주의해야한다"고 밝혔다. 

한편 빛스캔은 '국내 주간보안동향보고서' 5월 2주차를 통해 지난 주에 공인인증서 1만여건 공격을 감지, 이를 정부기관과 협력해 최종적으로 6,900여건의 인증서를 폐기하고 나아가 악성링크가 활용하는 IP 대역폭과 C&C 서버를 차단하는 등 적극적인 대응을 한 결과 위협이 조금 감소하는 모습이 나타났다고 설명했다.

하지만 여전히 일부 웹 사이트를 통해서는 휴일에도 악성링크가 지속적으로 활동했고 이번 공인인증서 악성링크 감염 공격 이후 공격자가 다양한 국가의 VPN(가상사설망)을 이용해 차단을 우회하는 모습도 관찰됐다. 

4월 2주차부터 5월 2주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 98건(34.3%)으로 지난주와 비슷했으며, 미국이 129건(45.1%), 홍콩이 18건(6.3%), 독일이 13건(4.5%), 스페인이 5건(1.7%), 이탈리아가 5건(1.7%), 네덜란드가 3건(1.0%), 기타가 15건(4.9%) 등으로 나타났다.