​네이버 개인정보 터는 ‘가짜 네이버 사이트’ 등장

아주경제 장윤정 기자 = 네이버 등 포털사이트 계정정보를 탈취하기 위해 이메일을 보낸 후 이메일에 링크된 주소를 클릭하면 가짜 포털사이트로 연결하는 파밍 공격이 등장했다.

가짜 네이버 사이트로 유도되면 비밀번호 변경 등을 이유로 개인정보를 입력하게 한다.

특히 이번 공격은 이메일에 악성코드 첨부파일을 심은 형태가 아니라 이메일 본문에 가짜 피싱사이트 주소를 연결, 수신자들이 직접 비밀번호를 입력하도록 유도한 한 단계 진보한 공격이다.

따라서 포털사이트에서 보낸 이메일이라도 메일에 첨부된 링크를 직접 클릭하는 것은 매우 위험하다.

잉카인터넷은 20일 네이버 등 유명 포털사이트 계정정보 탈취를 위해 이메일 공지내용을 사칭한 메일을 보낸 후 본문에 가짜 이메일 주소를 연결, 이를 클릭하면 가짜 네이버사이트로 연결하는 파밍 공격 등장했다고 밝혔다.

잉카인터넷측은 “특히 이번에 발견된 가짜 네이버 사칭 메일 공격의 수신자는 국내 정부기관에 소속 인물로 공격자가 정부기관에 근무하는 중요정보를 탈취하기 위한 목적으로 이번 공격을 감행한 것으로 추정된다”고 밝혔다.

 

네이버에서 온 메일로 위장하고 있지만 메일 본문에 있는 URL을 클릭할 경우 가짜 네이버 사이트로 연결된다

이번 공격에 사용된 수법은 포털사의 비밀번호 변경 공지처럼 위장한 교묘한 방식을 이용했다. 더불어 실제 이메일 서비스의 디자인을 도용, 마치 실제 포털사에서 발송한 것처럼 꾸며져 있다.

특이한 것은 이메일 내용 중에는 표현상 부자연스럽거나 오타가 존재한다는 점이다.

제목에는 "계정은 대신에 계정는" 이라는 표현이 있고, 본문에는 "바꾸십시오 대신에 바꾸시십오." 라는 잘못된 문구가 존재하는 것으로 미뤄 중국해커 등의 소행으로 짐작된다.

표적이 된 수신자가 해당 이메일에 속아 ['Naver 비밀번호 변경'] 부분을 클릭하면 가짜 피싱 사이트가 새롭게 열린다. 이 사이트는 실제 포털사이트의 디자인처럼 교묘하게 위장되어 있고, 이용자의 비밀번호 입력을 유도하게 된다.

피싱 사이트의 웹 사이트 화면을 보면 [로그인 비밀번호 변경]이라는 타이틀과 함께 아이디(이메일)와 비밀번호를 입력하게 유혹하고 있다.

수신자가 조작된 화면에 아이디와 암호 등을 입력한 후 [확인]을 누르게 되면 해당 정보들이 해외의 특정 사이트로 전송된다. 그리고 공격자는 실제 변경된 비밀번호를 실제 포털사에 적용, 이용자가 변경한 암호로 작동될 수 있도록 한 후 지속적인 정보감시 및 데이터 탈취를 수행할 수 있게 된다.
 

가짜 네이버 사이트에서 개인정보 변경을 요구하며 비밀번호 등을 입력하게 한다. 비밀번호를 입력하면 개인정보가 해커에게 그대로 전송된다

잉카인터넷 관계자는 “중요 기관 및 기업 등을 노린 표적공격이 끊임없이 발생하고 있다. 수신함에 도착한 메일이 평상시와 다르거나 생소한 내용이 있을 경우에는 발신자와 첨부파일, 링크주소 등을 주의깊게 살펴보는 노력이 필요하다”고 당부했다.

또한 “공격자는 지인처럼 사칭하거나 공식적인 이메일처럼 위장하는 경우가 많지만 꼼꼼하게 살펴보면 어눌한 표현이 있는 경우가 많다”며 “특히, 첨부파일에 문서파일의 취약점이나 실행파일을 포함해서 유포하는 경우도 많으니, 항상 최신 보안업데이트를 설치하고, 신뢰할 수 있는 유명 보안제품으로 검사하고 사용하는 습관이 중요하다”고 덧붙였다.
 

잉카인터넷 분석에 의하면 사용자가 입력한 개인정보가 해커에게 그대로 전송된다