(씨넷코리아=김상연 기자) 국내 대형 언론사 웹사이트에 광고를 표시하는 서버를 통해 금융정보를 빼돌리는 악성코드가 퍼져나갔다. 은행을 닮은 웹사이트에 계좌번호나 주민번호 등 개인정보를 입력했다면 지금 바로 은행에 연락해 조치를 취해야 한다.
보안업체 파이어아이는 17일 국내 언론사 웹사이트에 광고를 표시하는 업체 서버가 악성코드 패키지인 공다 익스플로잇 킷에 감염되었다고 밝혔다. 공다 익스플로잇 킷은 웹브라우저나 자바스크립트, 플래시 이전 버전에 숨은 취약점을 이용해 악성코드를 설치하는 패키지다.
공다 익스플로잇 킷에 감염된 광고 서버는 HTML 파일을 조작한 다음 인터넷 익스플로러나 플래시를 최신 버전으로 업데이트하지 않은 컴퓨터를 노린다. 만약 보안패치를 거치지 않은 웹브라우저라면 악성코드인 블랙문을 다운받게 하는 페이지로 강제 이동시킨다.
블랙문에 감염되면 프록시 서버 프로그램이 자동으로 설치된다. 은행이나 증권사 등 금융기관에 접속하면 이를 가로채 피싱 사이트로 연결하고 주민등록번호와 계좌번호, 공인인증서 비밀번호를 빼돌린다. 이미 4월 말에도 블랙문 변종이 나타나 10만 대 이상의 컴퓨터를 감염시켰다.
파이어아이는 2016년 1월부터 4월 말까지 공다 익스플로잇 킷에 노출된 이용자 중 90% 이상이 한국 이용자를 노렸다고 밝혔다. 크롬이나 엣지, 파이어폭스 등 인터넷 익스플로러 이외의 웹 브라우저를 쓰고, 운영체제와 웹 브라우저를 부지런히 업데이트하는 것이 좋다.