1. 서론

국내에서 농협 피싱 사이트(http://www.bank-nonghyup.com)가 발견되어, 사용자와 보안블로거(BoanBird)의 신고가 접수되어 관련 사항을 안내드립니다. 현재 국내에서 해당 사이트로 접속은 불가능하므로 피해는 없을 것 입니다.

2. 농협 피싱 사이트(http://www.bank-nonghyup.com)의 유포경로

해당 피싱 사이트의 정확한 유포경로는 확인된 바 없으며확인 중이지만 메일을 통해서 유포되었을 가능성이 높습니다. 그리고 카페 게시판과 SNS를 통해서 해당 피싱 사이트에 접속을 하지 말라는 글들이 올라와 있음을 알 수 있습니다.

[그림 1] 카페에 게시된 농협 피싱 사이트 관련 글

 

                                               [그림 2] 트위터에 올라온 농협 피싱 사이트 관련 글

3. 농협 피싱 사이트(http://www.bank-nonghyup.com) 상세정보
농협 피싱 사이트(http://www.bank-nonghyup.com)는 농협 인터넷 뱅킹 사용자의 정보를 탈취하여 금전적인 이득을 취하기 위한 목적으로 제작 및 유포된 것으로 보이며 농협 피싱 사이트(http://www.bank-nonghyup.com)와 정상 농협 뱅킹 사이트(http://banking.nonghyup.com/)를 비교해 보면 몇 가지 차이점을 발견할 수 있습니다.

                                     [그림 3] 농협 피싱 사이트(http://www.bank-nonghyup.com)

[그림 4] 정상 농협 인터넷 뱅킹 사이트(http://banking.nonghyup.com/)


[그림 3, 4]를 비교해 보면 얼핏 봐서는 구분이 안될 정도로 매우 흡사하지만 유심히 살펴보면 아래와 같은 차이점을 발견할 수 있습니다.

 

 

피싱 사이트

정상 농협 뱅킹 사이트

URL

http://www.bank-nonghyup.com

http://banking.nonghyup.com/

 사이트 구성

하나의 그림파일로 되어 있음.

여러 가지 메뉴로 구성되어 있음

 

피싱 사이트의 구성이 "하나의 그림파일로 되어 있음"은 농협 피싱 사이트 구축 시 동일하게 보이도록 하기 위해서 정상 농협 뱅킹 사이트의 메인 화면을 통째로 캡쳐한 후 하나의 그림 파일로 피싱 사이트를 구성한 것임을 의미합니다.

 

만약 사용자가 농협 피싱 사이트로 접속하여 어느 메뉴를 클릭하더라도 해당 메뉴는 동작하지 않으며 무조건 아래 화면으로 이동하여 농협 뱅킹 사용자의 정보를 입력하도록 유도하고 있습니다.


[그림 5] 농협 피싱 사이트의 로그인 절차


평소 농협 인터넷 뱅킹을 이용하는 사용자라면 여기에서 또 뭔가 수상하다는 것을 눈치챌 수 있습니다. 정상 농협 인터넷 뱅킹 사이트에 로그인하기 위해서 클릭하면 [그림 5]처럼 바로 사용자의 뱅킹 정보를 요구하는 것이 아니라 아래 그림처럼 인증서를 통한 로그인 창이 뜹니다.


[그림 6] 정상 농협 인터넷 뱅킹의 로그인 절차


[그림 5]에서 사용자가 무심코 인터넷 뱅킹정보를 입력한 후 확인을 누르면 아래 두 경우의 그림과 같은 화면을 사용자에게 보여주어 마치 로그인이 진행되는 것처럼 보여집니다.

                                               [그림 7] 농협 피싱 사이트의 로그인 진행화면 1

                                                   [그림 8] 농협 피싱 사이트의 로그인 진행화면 2(JPG파일)

위 두 그림은 단지 사용자를 속이기 위한 것으로 사용자가 입력한 뱅킹정보는 아래 URL로 전송이 됩니다.

POST http://www.bank-nonghyup.com/browse.php?u=
Oi8vd3d3LmJhbmstbm9uZ2h5dXAuY29tL3JlZ2lzdGVyX2luc2VydC5hc3A%3D&b=5 HTTP/1.0 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Referer: http://www.bank-nonghyup.com/browse.php
?u=Oi8vd3d3LmJhbmstbm9uZ2h5dXAuY29tL3JlZ2lzdGVyLmFzcA%3D%3D&b=5

Accept-Language: ko
Content-Type: application/x-www-form-urlencoded
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: www.bank-nonghyup.com
Content-Length: 150
Pragma: no-cache
username=test&idcard=123456&stringb=1234561&account=123123&password=1231&stringc=13123&
phone=123123&email=123123@34534535&button=+%ED%99%95+%EC%9D%B8+HTTP/1.1


구글 및 국내 주요 ISP에서 제공하는 DNS(Domain Name Server)로 농협 피싱 사이트인 www.bank-nonghyup.com에 대해서 DNS 쿼리를 해 본 결과입니다.

 

 

구글

(8.8.8.8)

KT

(168.126.63.1)

SK 브로드밴드

(210.220.163.82)

LG 파워콤

(164.124.107.9)

DNS 쿼리 결과

174.139.9.250

kdn.ktguide.com

(61.78.35.195)

174.139.9.250

174.139.9.250

 

위 결과를 보면 KT를 제외한 나머지 DNS에서 리턴한 174.139.9.250에 대해서 위치를 조회해 본 결과 해당 IP는 미국에 위치해 있음을 알 수가 있습니다.

[그림 9] 174.139.9.250 IP Location

 

그리고 농협 피싱 사이트인 www.bank-nonghyup.com에 대해서 좀더 확인한 결과 아래와 같은 정보를 얻을 수 있었는데 해당 도메인은 중국 사용자가 등록한 것으로 보입니다.

 

Domain Name      : bank-nonghyup.com

PunnyCode        : bank-nonghyup.com

Creation Date    : 2011-03-05 21:29:59

Updated Date     : 2011-03-05 21:29:59

Expiration Date  : 2012-03-05 21:29:59

 

Registrant:

Organization   : li yong ding

Name           : li yongding

Address        : he fei fei dong

City           : he fei fei dong

Province/State : BJ

Country        : cn

Postal Code    : 517000

Phone Number   : 86-0171-78421771

Fax            : 86-0171-78421771

Email          : 372088546@QQ.COM


4. 권고사항
앞에서도 잠깐 언급했지만 현재 국내에서 정상적인 방법으로는 접속이 불가능한 상황이므로 피해는 발생하지 않을 것입니다. 그러나 만일을 위해서 아래 정보를 기반으로 차단정책을 배포하는 것이 필요하겠습니다.

 

* 차단 도메인: www.bank-nonghyup.com

* 차단 IP: 174.139.9.250

 

안철수연구소의 대응상태: TrusGuard에서 아래와 같이 차단함

malicious_url_20110328_0912(HTTP)


5. 에필로그
외국에서는 인터넷 뱅킹의 피싱 사이트 사례가 빈번하게 발생하는 상황에서 국내의 경우는 로그인하기 위해서는 여러단계를 거치므로 비교적 안전하다고 볼 수 있습니다. 추후에 이런 유사한 사례가 계속 나올 수 있고 그때는 사용자의 인증서까지 탈취할 수도 있는 상황이 발생할 수 있으므로 평소에 보안에 좀더 신경쓸 필요가 있습니다.

어떻게???? 아래처럼,,,

1. 메일이나 메신저등 여러 경로를 통해서 수신된 첨부파일이나 주소는 함부로 클릭하지 않는다.

2. 운영체제나 응용 프로그램의 보안 업데이트는 항상 최신으로 유지한다. 이럴려면 적어도 자신이 사용하는 운영체제가 뭔지? 또는 어떤 응용 프로그램을 사용하고 있는지?등을 알아둘 필요가 있습니다.

3. 백신은 항상 최신 엔진으로 유지 등...

4. 공인 인증서 등 중요한 자료는 하드 디스크에 보관하지 말고 가급적 이동식 디스크에 보관

신고
Posted by 비회원