네이버 위장 파밍 사이트 등장... 기업 광고 담당자 노려

네이버로 위장한 파밍 사이트가 등장했다. 페이지 하단 ‘회사 소개’ ‘광고’ 등을 클릭하면 악성코드가 사용자 PC로 내려받아진다. 기업 광고 담당자 등 특정 이용자를 노린 것으로 추정된다.

네이버로 위장한 파밍사이트 화면(자료:멀웨어스닷컴 제공)
네이버로 위장한 파밍사이트 화면(자료:멀웨어스닷컴 제공)

세인트시큐리티(대표 김기홍)는 10일 자체 사이버 위협 인텔리전스 사이드론(CyDrone) 실시간 탐지로 네이버 파밍 사이트를 확인했다고 밝혔다. 현재 오픈베타 중인 사이드론은 수집된 각종 악성코드 유포와 경유지 정보를 보여준다. 회사는 빅데이터 기반 악성코드 자동분석 플랫폼 ‘멀웨어스닷컴’을 운영 중이다.

파밍 사이트는 네이버 포털 첫 페이지를 그대로 본떴다. 초록색 네이버 영문 표기에 사각 검색창, 실시간 인기 검색어, 초록 배경에 카테고리 분류 등 차이를 발견하기 쉽지 않다. 뉴스스탠드 디자인도 똑같이 구현했다.

정상 네이버 사이트와 유사한 모습이다. 주의 깊게 살펴보면 구분 가능하다. 우선 사이트 주소다. 주소창에 네이버(www.naver.com)가 아닌 다른 주소(nrawer, nrear, naewr 등)가 적혀 있으면 의심해야 한다. 광고 작동 여부도 눈에 띄는 차이점이다. 파밍사이트에서는 카테고리 분류 하단과 우측 투데이 정보 하단 광고가 제대로 나오지 않는다. 투데이 항목에 표시된 날짜와 실시간 이슈, 뉴스 등도 최신이 아니다. 로그인 창에 ‘보안 로그인 ON/OFF’나 ‘로그인 상태 유지’ 체크 등도 정상 작동하지 않는다.

네이버 파밍 사이트(왼쪽)와 정상 사이트 비교. 주소 창과 광고, 투데이 날짜 등을 확인하면 구분 가능하다.(자료:멀웨어스닷컴 제공)
네이버 파밍 사이트(왼쪽)와 정상 사이트 비교. 주소 창과 광고, 투데이 날짜 등을 확인하면 구분 가능하다.(자료:멀웨어스닷컴 제공)

세인트시큐리티 코드분석팀은 일반 사용자보다 특정 표적을 노린 워터링 홀 공격 기법으로 분석했다. 단순 사이트 방문자가 아닌 ‘회사 소개’ ‘광고’ 등 특정 정보가 필요한 이용자를 노렸기 때문이다. 항상 동작하지 않고 일정 시간에만 탐지되는 국지적 동작 형태도 확인했다. 기업 내부 보안 제품에 의한 탐지 회피가 목적이라는 설명이다.

해당 파밍 사이트를 바탕으로 등록자를 역추적해 추가 도메인을 확인했다. 해당 사용자에 의해 등록된 도메인 50개 중 파밍 사이트 관련 도메인은 15개로 추정했다.

파밍 사이트에서 유포되는 악성코드 최종 동작은 명령을 내리는 C2 서버와 통신 후 추가 악성 동작을 수행하는 형태다. 상호 통신에 따른 구체적 악성 기능을 분석 중이다.

김승언 세인트시큐리티 코드분석팀장은 “다른 악성코드에서 호스트를 변조하거나 스팸메일로 링크 클릭 등을 유도해 파밍사이트에 접속하는 것으로 보인다”며 “정보가 필요한 개인 혹은 기업 관계자 PC로 기업 내부에 침투하고 고스트 서버 명령에 따라 동작하는 악성코드”라고 말했다.

박정은기자 jepark@etnews.com