사용자 삽입 이미지

지난 광복절 연휴기간 동안 넥슨 네오플의 온라인게임 던전앤파이터 홈페이지가 악성코드로 몸살을 앓았다.

공격자는 어도비 플래시플레이어의 취약점(CVE-2014-0515)을 악용해 비정상적인 게임 클라이언트를 내려받고 실행하도록 유도했다.

어도비 플래시플레이어 최신버전이 설치돼 있지 않은 사용자는 던전앤파이터 홈페이지에 접속하기만 하더라도 피싱 클라이언트로 접속된다는 점이 무서운점이다. 최근 몇 년 사이 유행처럼 번지는 드라이브바이다운로드(DBD)의 확장 버전이라고 봐도 무방할 것이다.

피싱 클라이언트는 사용자의 일회용비밀번호(OTP)를 탈취한 뒤 공격자의 서버로 전송하는 역할을 한다. 이미 아이디와 비밀번호는 피싱 클라이언트 접속 시에 이미 노출된 상황이기 때문에 계정에 포함된 게임아이템 등이 탈취당하는 것은 시간문제다.

출처 : http://viruslab.tistory.com/3557

출처 : http://viruslab.tistory.com/3557


보안업계에서는 취약점에 대한 업데이트가 나온지 석 달이나 지났음에도 이를 적용하지 않는 사용자가 많아 우려된다고 전했다.

보안업계 관계자는 “평소에 보안 업데이트를 하지 않는 사용자들은 3개월 전에 나온 업데이트가 아니라 나온지 1년이 넘은 업데이트도 진행하지 않는 경우가 많다”며 “보안 업데이트를 실행하지 않을 경우 DBD 등으로 인한 좀비피시화(化), 개인정보유출 등의 문제가 발생할 수 있다”고 주의를 당부했다.

카스퍼스키랩이 최근 발표한 보고서에도 보안 업데이트에 대한 사용자들의 인식을 보여주고 있다.

2010년 6월에 발견 스턱스넷 공격에 사용된 CVE-2010-2568 취약점은 아직까지도 수천만명의 피해자를 낳고 있다. 이 취약점은 윈도 바로가기 핸들링 오류를 이용해 임의의 DLL 파일을 로드해 실행할 수 있도록 하는데, DLL 파일을 임의로 삽입할 수 있다는 강력함으로 인해 공격자들이 활용하기도 매우 수월해 인기가 높은(?) 취약점이다.

카스퍼스키랩 조사에 따르면 2013년 11월부터 2014년 6월까지 8개월간 CVE-2010-2568 취약점으로 인해 피해를 입은 PC는 전 세계적으로 1900만대에 달하는 것으로 나타났다. 취약점에 대한 패치가 나온지 3년이란 시간이 지났으나 이를 패치하지 않은 사용자가 여전히 많다는 증거다.

악성코드를 비롯해 제로데이 취약점이 활개치는 상황에서 보안 업데이트마저 하지 않는다면 그 피해는 더 확산될 수 밖에 없다.

지금 우려되는 점은 지난주 발생한 윈도7 업데이트 오류로 인해 자동 업데이트를 꺼리는 사용자가 더 늘어나진 않을까 하는 부분이다.

하지만 어떠한 이슈가 있더라도 보안 업데이트를 제때 하지 않으면 이에 대한 보호를 받지 못한다. 자신의 PC나 계정을 지키기 위해서는 스스로 보안에 신경을 써야할 것이다.
2014/08/20 10:18 2014/08/20 10:18


몇 년 전까지만 하더라도 네이트온, MSN메신저 등의 인스턴트메신저를 사용한 금융 피싱 사기가 극성이었습니다.

피싱 수법은 대체로 평이했지만, 메신저라는 특성상 많은 사람들이 피해를 입었습니다. 메신저에 등록된 사용자들은 대부분 지인임을 노리고, 이들을 대상으로 급전이 필요하다고 ‘낚은 것’입니다.

최근 스마트폰 사용자가 급증하면서 카카오톡, 마이피플과 같은 모바일메신저를 사용한 금융 피싱 사례가 하나둘 씩 등장하고 있습니다.

지난 3월, 모바일메신저 카카오톡을 악용한 금융사기 사건이 발생해 경찰이 수사에 착수한 바 있습니다. 이와 관련 카카오측은 서버해킹이나 피싱으로 인한 사건은 아니라고 주장했습니다.

내막은 이렇습니다. 피해자 장모씨(52)는 “카카오톡 피싱을 당해 600만원의 손해를 봤다”고 서울 동작경찰서에 신고했습니다. 정씨는 지인으로부터 600만원을 빌려달라는 카카오톡 메시지를 받고 송금했습니다. 송금할 당시 지인의 프로필은 특이한 점이 없었다는게 장씨의 주장입니다.

그러나 메시지를 보낸 사람은 장씨의 지인이 아니었고, 송금 후 카카오톡의 프로필은 다른 사람의 것으로 변경됐습니다. 송금액 역시 이미 인출된 상태였습니다.

이와 관련해 카카오 관계자는 “서버에 침입한 기록이 남아있지 않기 때문에 서버해킹이라고 볼 수 없다”며 “기술적인 해킹이나 피싱을 통해 이루어진 것이 아닌 프로필 사진과 이름을 사칭한 단순한 사기사건으로 판단된다”고 언급했습니다.

관할 경찰서 관계자 역시 “해킹보다는 사칭사기에 중점을 두고 있다”고 수사방향을 발표한 바 있습니다.

다시 원점으로 돌아와서 메신저 금융 피싱 사기가 줄어들게 된 계기는 2008년 말부터 방송통신위원회, 한국인터넷진흥원 등 정부에서 캠페인을 벌이고, 언론에서도 지속적으로 관련 내용을 노출했기 때문이라고 합니다.

또 2009년에는 본격적으로 메신저에 피싱 경고문구가 탑재된 것도 피싱 사고를 줄이는데 한 몫했습니다. 해외 IP로 접속하거나, 특정 키워드를 입력할 경우 피싱 문구가 노출되도록 해 사용자들에게 경각심을 줬기 때문이죠.

앞서 언급한 카카오톡 피싱사고 이후로 카카오톡, 마이피플, 라인 등 주요 모바일메신저에도 피싱문구가 탑재됐지만, 아직 좀 부족해보입니다.

카카오톡의 경우 서로 대화상대로 추가 돼 있는 경우(양측 모두 전화번호가 저장돼 있는 경우)에는 피싱 경고문구가 뜨지 않습니다. 한 쪽만 저장돼 있는 경우는 피싱 경고 문구가 뜹니다.

마이피플도 마찬가지입니다. PC버전은 네이트온과 동일하게 ‘입금’, ‘만원’, ‘은행’, ‘카드’ 등의 키워드를 입력하면 피싱 경구문구가 뜹니다. 그러나 모바일에서는 전혀 찾아볼 수 없습니다.

만약 모바일메신저에서도 특정 키워드가 노출되거나, 대화가 시작할 때 피싱 경고문구가 뜬다면 어떨까요? 100% 막는 것은 불가능하더라도 이전보다 사기 피해는 확실히 줄어들 것이라 생각됩니다. 경고문구로 인해 피싱 사기에 대한 인지를 한 번 더 할 수 있으니까요.

이런 부분은 방통위와 KISA에서 적극적으로 가이드라인을 만들어 모바일메신저 개발업체에게 배포해 더욱 지능화되는 피싱 사고 예방에 일조해야 되지 않을까요?



2012/08/21 17:45 2012/08/21 17:45


최근 인기리에 방영중인 드라마 ‘유령’에는 특정 계층의 사용자를 노리는 타깃공격이 매우 심도있게 다뤄지고 있다.


극 중 등장하는 해커는 자신이 좋아하는 연예인의 안티카페에 가입된 사용자를 꾀어내기 위해 피싱메일을 발송한다. 사용자들은 아무런 의심없이 해당 메일을 열람하게 되는데, 이 순간 악성코드가 사용자 PC로 전이돼 해커의 제어 범위안에 들어가게 됐다. 이후 해커는 해당 PC를 제어해 살인까지 저지르게 된다.


이러한 해킹기법을 ‘사회공학적 기법’이라고 통칭하는데, 최근 전세계적으로 이러한 공격이 지속적으로 일어나고 있다.

(관련기사 : “디아블로3 맵핵 찾지마세요” / 소비자 불만이 접수됐다?…미 공정거래협회로 위장한 스팸메일 활개 / “APT 공격 급증세, 이젠 중소기업도 타깃”)

런 공격은 주로 사회적으로 이슈가 되거나, 특정인들이 관심이 있어할 만한 주제로 메일과 첨부파일을 보내는 것으로 첨부파일을 열람하면 악성코드에 감염되는 형태를 띈다.

과거에 등장한 형태를 살펴보면, ▲헤드헌팅을 가장한 메일 ▲무료 이벤트를 가장한 메일 ▲가십거리를 담은 메일 ▲성인 콘텐츠를 가장한 메일 등이다.

첨부파일에는 대체로 pdf, doc(워드), xls(엑셀) 와 같은 문서파일이 주를 이루고 있는데, 최근에는 한컴의 hwp 포맷파일도 등장하고 있어 주의가 요망된다.

(관련기사 : 올해의 보안 핫 이슈는 ‘APT 공격’)

한컴의 ‘아래아한글’의 사용자들이 대부분 우리나라 사람이란 점에서 이러한 트렌드는 의미가 깊다. pdf, doc 파일들은 전세계적으로 통용되는 파일이기에 특정 국가의 사용자를 노린다고 보기는 힘들다는 것이 업계의 공통적인 의견이다.

그러나 hwp 파일의 유통은 대부분 한국에서만 이뤄지므로 hwp 취약점을 악용한 악성코드의 등장은 우리나라 사용자만을 노린다고 볼 수 있다. 최근 북한과 관련된 hwp 파일이 다수 유통된 것도 이와 같은 맥락으로 유추된다.

이와 관련 윤광택 시만텍코리아 이사는 “‘아래아한글’ 사용자를 노리는 악성코드가 등장했다는 것은 분명 무언가를 노리고 있다고밖에 설명할 수 없다”며 “hwp 파일을 사용하는 곳이 주로 관공서라는 점을 생각해본다면 이해가 빠를 것”이라고 말했다.

이어 “일본에도 우리와 유사한 상황이 발생하고 있다. 일본에서만 사용되는 워드프로세서 ‘이치타로우’의 취약점을 노린 악성코드가 계속해서 나타나고 있다”며 “특정 지역에서만 사용되는 소프트웨어의 취약점을 노린 공격에는 분명 악의적인 의도가 있을 것”이라고 덧붙였다
.



2012/06/21 08:15 2012/06/21 08:15

게임 아이템을 무료로 주겠다고 속이고 사용자 계정정보를 탈취하는 피싱 프로그램 등장 이후, 최근에는 셧다운제를 회피할 수 있는 피싱 프로그램이 유포되고 있는 것으로 나타났습니다.

최근에 발견되고 있는 피싱 프로그램은 ‘셧다운제해제’라는 이름으로 둔갑해 배포되고 있었는데, 해당 프로그램은 온라인게임 사용자의 아이디와 비밀번호를 입력하도록 유도해, 사용자의 게임 아이템을 탈취할 수 있도록 개발된 프로그램이었습니다.


이름만 그럴 듯 하게 지어놓은, 결국은 피싱 프로그램이었던 것이죠.

이번 포스팅에서는 온라인게임 피싱 프로그램의 시작과 역사를 짧게나마 써보려고 합니다.

온라인게임 피싱 프로그램의 역사는 매우 길고 깁니다.

 

피싱이라는 용어자체는 2000년 후반부터 쓰이기 시작했으나 그 개념 자체는 온라인 게임의 등장과 그 맥을 같이 하고 있습니다.

다양한 기법이 등장하고 있지만 결론은 같습니다. 해당 사용자의 아이디와 패스워드를 탈취해 금전적인 이득을 얻고자하는 것은 예나 지금이나 동일합니다.

우리나라 최초의 온라인게임 피싱 방법은 프로그램이 아닌 게임운영자 사칭이었습니다. 이는 게임마스터(GM)의 아이디와 유사하게 만든 다음 사용자들에게 접근, 개인정보를 탈취하는 방법이었습니다.

그러나 이 방법은 오래가지 않았는데, 게임업체들의 모니터링이 강화됨과 동시에 게임마스터의 아이디와 유사한 아이디는 생성조차 불가능하게 만들었기 때문입니다.

운영자 사칭 피싱은 향후 지인 사칭 피싱으로도 이어집니다. 지인인척 하고 게임아이템을 탈취하는 방법으로 진화한 것이죠.

이러한 사칭 피싱은 최근에는 ‘사회공학적 해킹’으로 불리고 있죠. 이는 사람과 사람사이에 존재하는 기본적인 신뢰를 바탕으로 공격을 하거나 원하는 정보를 취득하는 행위를 뜻합니다.

운영자 사칭 피싱 이후에 등장한 피싱 기법은 웹메일링 서비스를 이용한 것이었습니다. 이 기법은 ‘게임을 좀 더 편하게 즐기고자 하는 사용자들의 심리’를 교묘하게 이용한 방법으로 지금까지도 이어오고 있습니다.


시작은 블리자드사의 디아블로2 라는 게임이 시장에서 큰 히트를 치면서부터입니다. 당시 디아블로2에는 아이템 복사라는 버그가 존재했는데 이를 틈타 ‘복사를 대행해주겠다’는 게시물이 주요 게임공략사이트 게시판에 올라왔습니다.

사용설명서를 읽어보면 게임시스템을 잘 모르는 사람은 속아넘어갈 정도로 상세하게 설명을 해뒀습니다.

‘복사를 해준다는’ 웹 애플리케이션을 살펴보면 매우 단순합니다. 아이디와 비밀번호를 입력하고 복사를 누르면 끝입니다.


해당 웹 앱의 html 코드를 살펴봅니다. ‘코리아베이스’라는 웹메일 서비스를 이용해 입력된 폼값을 특정 이메일로 전송하도록 짜여져 있습니다.

이런 웹메일 서비스를 이용한 피싱은 2000년대 중반까지 지속적으로 등장했다가 웹메일 서비스 제공업체가 대폭 줄어들면서 자연스레 사라지게 됐습니다.

최근에 등장하는 온라인게임 피싱 프로그램은 웹메일 서비스 피싱과 기법은 동일하지만 더욱 진화된 형태입니다.

MFC프로그래밍으로 네이티브 앱을 직접 제작해 피싱에 활용하는 방법이 쓰입니다. 얼마전에 발견된 셧다운제 회피 프로그램이 바로 그런 것들의 일종입니다.


가장 대표적인 피싱 사고로는 지난 2005년 7월 국내 시중은행의 가짜 사이트로 개인정보를 유출한 사고입니다.

A 은행의 가짜 사이트를 만든 해커는 해당 사이트에 실명인증 프로그램이라고 위장한 피싱 프로그램을 올려뒀습니다. 이후 해커는 게임사용자들이 몰릴만한 커뮤니티에 해당 글을 올리고 피싱 프로그램 설치하도록 유도했고, 개인정보를 대거 유출시켰습니다.

최근에는 매크로를 이용한 아이템 탈취, 이메일을 이용한 계정정보 탈취 등이 최근에 많이 사용되고 있다고 합니다.

‘세상에 공짜는 없다’ 라는 말이 있습니다. 노력하지 않고 얻을 수 있는 것은 없다는 것을 뜻하죠. 피싱에 의한 피해는 ‘이유없는 공짜는 없다’라는 인식만 가지고 있다면 막을 수 있을 것이라고 조심스레 생각해봅니다.

2012/01/18 09:39 2012/01/18 09:39