지난 13일 지마켓을 파밍사이트로 이용하려는 공격 징후가 발견됐으나 미수에 그쳤지만(본지 13일자 기사 참조) 이틀후인 15일부터 현재까지 지마켓이 파밍사이트로 변조돼 파밍공격 중인 것으로 드러났다.
그간 네이버, 다음, 옥션 등 다수 유명 포털, 온라인쇼핑몰이 파밍사이트로 이용된 적이 있지만 지마켓에서 발견된 것은 처음이다.
2014년 1월 랭키닷컴 순위에 따르면 지마켓이 오픈마켓 순위에서 1위를 차지, 다수 온라인쇼핑족들이 이용하는 지마켓이 파밍사이트 감염 통로로 활용된다면 사용자 피해가 상당할 수 있어 주의가 시급하다.
빛스캔은 2월 3주차 국내 주간보안동향보고서를 통해 파밍 악성코드에 감염된 사용자를 가짜 은행사이트 등으로 유도되는 파밍 공격에 지마켓을 이용하려는 정황이 포착됐다고 20일 밝혔다.
사용자 PC가 최신 패치를 적용하지 않아 취약성으로 인해 악성코드에 감염되면 지마켓을 방문 시 금융결제원을 사칭한 배너가 뜨고 이를 클릭하면 금융정보 노출 및 금융자산 탈취 등의 피해로 이어질 수 있다.
오승택 빛스캔 과장은 "2월 둘째주 지마켓을 이용하려는 사전 징후가 악성코드를 통해 포착됐다. 그 이후 금주 주말에 나타난 악성코드를 통해 지마켓 사이트가 플로팅 배너 광고로 이용되고 있는 모습이 확인됐다"며 "기존에 네이버 등 포탈을 통해 파밍 공격을 수행한데 이어서 오픈 마켓까지 공격자가 활용하게 되었다는 점에서 더욱더 큰 위험에 노출된 것은 물론 다른 오픈마켓도 이용될 가능성이 충분히 있다"고 밝혔다.
또 이번 보고서는 금융감독원에 이어 금융결제원까지 파밍 공격에 이용되고 있다고 밝혔다.
다음 등 포털 사이트에서 나타난 플로팅 배너 광고에서는 금융감독원에 이어 금융결제원을 사칭해 파밍 사이트로 연결하려는 모습도 확인됐다.
2월 3주 빛스캔 '주간보안동향보고서'에 따르면 전체 발견된 악성코드 유포지가 지난주에 비해 조금 증가했지만 신규 경유지의 활동이 약 3.5 배 정도 증가함에 따라 파급력도 동반 상승하는 효과가 나타났다.
신규 경유지 상승 요인으로는 파일공유(P2P) 여행사, 쇼핑몰, 뉴스, 광고 배너 사이트가 주말기간 악성코드의 집중적인 유포에 따른 효과로 보인다 . 일부 사이트는 사이트는 3주 연속 악성 코드 통로로 이용됐다 . 또한 발견된 악성코드는 대부분 파밍 악성 코드로 분석됐다.
1월 2주차부터 2월 3주까지의 최근 6주 동안의 주요 국가별 경유지(악성링크) 도메인 통계를 살펴보면, 누적 수는 한국이 165건(14.8%)으로 지난주와 비슷했으며, 프랑스가 300건(26.8%), 미국이 240건(21.5%), 독일이 165건(14.8%), 이탈리아가 58건(5.2%), 스페인이 33건(3.0%), 폴란드가 30건(2.7%), 영국이 24건(2.1%), 네덜란드가 22건(2.0%), 홍콩이 11건(1.0%), 기타 70건(6.1%) 등으로 나타났다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지