2008년 베이징올림픽 당시 국내에는 ‘베이징 올림픽 개최가 취소되고 미국 애틀란타에서 다시 열린다’라는 제목의 이메일이 성행했다.

 

해당 이메일은 열람만 할 경우에는 큰 문제가 없으나 첨부된 문서파일을 열람할 경우 PC에 애드웨어가 설치되는 악성코드를 탑재하고 있었다.

2008년 당시 국내에서는 중국에 대한 감정이 좋지 않음을 넘어 혐한의 수준까지 올라왔었다. 당연히 우리나라 사람들도 중국에 대한 안좋은 감정을 인터넷 상으로 나타내고 있던 상황. 그런 상황에서 중국 올림픽 개최가 취소됐다고하니 얼마나 궁금하겠는가.

이듬해 마이클 잭슨이 사망한 이후 ‘마이클 잭슨의 미공개 영상’으로 위장한 이메일이 배포되기 시작했다. 해당 사이트에 접속하면 자동으로 액티브X가 설치되며 악성코드를 내려받게 된다. 스크린세이버 형태를 띄고 있어 실행 즉시 PC에 설치돼 사용자의 온라인 뱅킹 정보를 기록, 전송하도록 설계됐다.
 
이 외에도 김연아 선수 동영상으로 위장한 악성코드, 일본 대지진, 오사마 빈 라덴 사망소식, 김정일 국방위원장 사망, 스티브 잡스 사망 등 굵직한 뉴스가 나올 때마다 네티즌의 호기심을 악용한 악성코드 유포 시도가 어김없이 발생했다.

올해는 2012 런던 올림픽과 관련된 악성코드가 인터넷에 넘쳐나고 있다. 트렌드마이크로, 시만텍, 안랩 등 보안업체들은 올림픽 티켓, 정보 등을 위장한 이메일을 주의하라고 당부했다.

이러한 악성코드 배포 방법은 사회공학적 기법이라 부른다. 이는 기계라면 이해하지 못할, 사람만이 이해할 수 있는 정보를 가장해 악성코드 설치로 유인하는 방법을 뜻한다.

지난해 국내 사용자들을 대상으로 한 대표적인 해킹 사례는 북한 김정일 국방위원장으로 설명할 수 있다.

김 위원장과 관련된 것처럼 보이는 허위게시글 작성부터, 유튜브 동영상 사이트를 통한 악성 광고 프로그램 배포, 이메일의 문서 첨부파일을 통한 악성파일 배포에 이어 추가로 김정일 사진파일처럼 교묘하게 위장한 악성파일이 발견됐다.

해당 악성파일은 윈도 운영체제의 기본적인 JPG 사진파일용 아이콘을 사용하고 있으며, 폴더 옵션의 확장자 숨기기 기능이 활성화돼 있을 경우에는 JPG 파일처럼 보이도록 2중 확장자(.jpg.scr)를 가지고 있다. SCR 확장자는 화면보호기용(Screen Saver)으로 사용되는 것으로 일반적으로 실행파일 형태로 사용되고 있기 때문에 실제 EXE 파일을 SCR 로 위장한 형태로 2중으로 교묘하게 위장하고 있다.

최근에는 안드로이드 애플리케이션으로 위장한 악성파일도 등장하고 있어 주의가 요구된다. 정당한 방법을 지불하지 않고 불법으로 위,변조된 *.apk 파일을 내려받으려는 사용자를 노리는 해커들이 증가하는 추세다.

안드로이드폰을 사용하는 일부 사람들은 고가의 앱을 구입하는 대신 자료실이나 블로그 등을 검색해 앱을 내려받아 설치한다.

해커들은 사람들의 호기심을 자극하기 위해 ‘곧 짤릴 것 같습니다. 빨리 받으세요. 좋은 자료입니다’ 등의 문구를 탑재하는 것은 기본이다.

그러나 해당 파일은 apk 형태를 띈 보통의 압축파일, 실행파일이며 내려받거나, 실행하는 즉시 사용자 PC, 스마트폰에 피해를 입히게 된다.

실제로 최근 안랩은 런던 올림픽 게임으로 위장한 안드로이드 악성코드를 발견했다.

 

 ‘London 2012 공식 게임’이라는 타이틀로 위장한 앱은 러시아에서 발견됐으며, 구글 정식마켓이 아닌 사설마켓에서 발견됐다. 이 악성어플은 설치 시 사용자 폰의 정보를 무단으로 전송시키며, 아래의 특정한 지정번호로 문자 메시지를 발송한다.

위협을 막을 수 있는 방법은 다음과 같다.

1. 윈도OS, 각종 응용프로그램의 최신버전 설치 및 보안패치 적용하기
2. 백신 프로그램을 최신 버전으로 업데이트하고, 실시간 감시 기능을 켜고 주기적으로 전체검사하기
3. 알지 못하는 사람이 보낸 메일이나 쪽지는 가급적 열지 말고 삭제하기
4. 올림픽이나 최근 핫이슈를 담은 온라인기사를 클릭하기 전 이를 악용하는 사례가 많다는 것을 유의하기
5. 불법 소프트웨어, 애플리케이션 검색, 설치하지 않



2012/08/02 14:09 2012/08/02 14:09

게임 아이템을 무료로 주겠다고 속이고 사용자 계정정보를 탈취하는 피싱 프로그램 등장 이후, 최근에는 셧다운제를 회피할 수 있는 피싱 프로그램이 유포되고 있는 것으로 나타났습니다.

최근에 발견되고 있는 피싱 프로그램은 ‘셧다운제해제’라는 이름으로 둔갑해 배포되고 있었는데, 해당 프로그램은 온라인게임 사용자의 아이디와 비밀번호를 입력하도록 유도해, 사용자의 게임 아이템을 탈취할 수 있도록 개발된 프로그램이었습니다.


이름만 그럴 듯 하게 지어놓은, 결국은 피싱 프로그램이었던 것이죠.

이번 포스팅에서는 온라인게임 피싱 프로그램의 시작과 역사를 짧게나마 써보려고 합니다.

온라인게임 피싱 프로그램의 역사는 매우 길고 깁니다.

 

피싱이라는 용어자체는 2000년 후반부터 쓰이기 시작했으나 그 개념 자체는 온라인 게임의 등장과 그 맥을 같이 하고 있습니다.

다양한 기법이 등장하고 있지만 결론은 같습니다. 해당 사용자의 아이디와 패스워드를 탈취해 금전적인 이득을 얻고자하는 것은 예나 지금이나 동일합니다.

우리나라 최초의 온라인게임 피싱 방법은 프로그램이 아닌 게임운영자 사칭이었습니다. 이는 게임마스터(GM)의 아이디와 유사하게 만든 다음 사용자들에게 접근, 개인정보를 탈취하는 방법이었습니다.

그러나 이 방법은 오래가지 않았는데, 게임업체들의 모니터링이 강화됨과 동시에 게임마스터의 아이디와 유사한 아이디는 생성조차 불가능하게 만들었기 때문입니다.

운영자 사칭 피싱은 향후 지인 사칭 피싱으로도 이어집니다. 지인인척 하고 게임아이템을 탈취하는 방법으로 진화한 것이죠.

이러한 사칭 피싱은 최근에는 ‘사회공학적 해킹’으로 불리고 있죠. 이는 사람과 사람사이에 존재하는 기본적인 신뢰를 바탕으로 공격을 하거나 원하는 정보를 취득하는 행위를 뜻합니다.

운영자 사칭 피싱 이후에 등장한 피싱 기법은 웹메일링 서비스를 이용한 것이었습니다. 이 기법은 ‘게임을 좀 더 편하게 즐기고자 하는 사용자들의 심리’를 교묘하게 이용한 방법으로 지금까지도 이어오고 있습니다.


시작은 블리자드사의 디아블로2 라는 게임이 시장에서 큰 히트를 치면서부터입니다. 당시 디아블로2에는 아이템 복사라는 버그가 존재했는데 이를 틈타 ‘복사를 대행해주겠다’는 게시물이 주요 게임공략사이트 게시판에 올라왔습니다.

사용설명서를 읽어보면 게임시스템을 잘 모르는 사람은 속아넘어갈 정도로 상세하게 설명을 해뒀습니다.

‘복사를 해준다는’ 웹 애플리케이션을 살펴보면 매우 단순합니다. 아이디와 비밀번호를 입력하고 복사를 누르면 끝입니다.


해당 웹 앱의 html 코드를 살펴봅니다. ‘코리아베이스’라는 웹메일 서비스를 이용해 입력된 폼값을 특정 이메일로 전송하도록 짜여져 있습니다.

이런 웹메일 서비스를 이용한 피싱은 2000년대 중반까지 지속적으로 등장했다가 웹메일 서비스 제공업체가 대폭 줄어들면서 자연스레 사라지게 됐습니다.

최근에 등장하는 온라인게임 피싱 프로그램은 웹메일 서비스 피싱과 기법은 동일하지만 더욱 진화된 형태입니다.

MFC프로그래밍으로 네이티브 앱을 직접 제작해 피싱에 활용하는 방법이 쓰입니다. 얼마전에 발견된 셧다운제 회피 프로그램이 바로 그런 것들의 일종입니다.


가장 대표적인 피싱 사고로는 지난 2005년 7월 국내 시중은행의 가짜 사이트로 개인정보를 유출한 사고입니다.

A 은행의 가짜 사이트를 만든 해커는 해당 사이트에 실명인증 프로그램이라고 위장한 피싱 프로그램을 올려뒀습니다. 이후 해커는 게임사용자들이 몰릴만한 커뮤니티에 해당 글을 올리고 피싱 프로그램 설치하도록 유도했고, 개인정보를 대거 유출시켰습니다.

최근에는 매크로를 이용한 아이템 탈취, 이메일을 이용한 계정정보 탈취 등이 최근에 많이 사용되고 있다고 합니다.

‘세상에 공짜는 없다’ 라는 말이 있습니다. 노력하지 않고 얻을 수 있는 것은 없다는 것을 뜻하죠. 피싱에 의한 피해는 ‘이유없는 공짜는 없다’라는 인식만 가지고 있다면 막을 수 있을 것이라고 조심스레 생각해봅니다.

2012/01/18 09:39 2012/01/18 09:39