● C2 서버 역시 국내 정상 웹사이트가 해킹돼 구성된 인프라로, 현재 시점에서도 여전히 악성 행위에 사용중
● 의심스러운 링크는 누리랩 'ASKURL' 서비스로 사전에 검사하는 것이 피해 예방에 효과적
국내 서버 해킹해 유포중인 CJ 대한통운 사칭 피싱 공격 흐름도
AI 보안기업 누리랩(Nurilab. 대표 최원혁, 박정호)은 최근 국내 웹사이트 25곳이 해킹돼 CJ대한통운을 사칭하는 피싱 공격이 활발히 전개되고 있다며 사용자들에게 각별한 주의를 당부했다. 이 피싱 캠페인은 지난 5월부터 포착되기 시작해 현재까지도 실시간으로 감염 사례가 이어지고 있는 정교한 사이버 공격으로 분석됐다.
누리랩에 따르면, 공격자는 국내 정상 웹사이트의 보안 취약점을 악용해 서브 페이지를 무단 생성한 뒤, CJ대한통운을 사칭하는 피싱 페이지를 유포하고 있다. 이 페이지는 사용자에게 택배 배송 조회를 가장한 문자를 발송하고, 링크를 통해 악성 앱 설치를 유도한다. 앱 설치는 일반 사용자가 쉽게 설치하지 못하도록 특정 전화번호를 입력해야만 다운로드가 가능하도록 설계돼 있어, 이는 분석 회피를 위한 기술적 우회 기법으로 판단된다.
누리랩 악성 앱 수집 기술인 'GetAPK'를 통해 확보된 앱을 분석한 결과, 이 앱은 설치 직후 공격자가 미리 만들어둔 네이버 블로그에서 명령제어(C2) 주소를 받아오고, 피해자의 휴대폰에 저장된 사진, 문자, 통화기록, 연락처 등 민감한 개인정보를 외부로 전송하는 행위를 수행하고 있는 것으로 드러났다. 특히 이 C2 서버 역시 국내 정상 웹사이트가 해킹돼 구성된 인프라로, 현재 시점에서도 여전히 악성 행위에 사용되고 있는 것으로 확인됐다.
피싱에 악용되고 있는 해킹당한 국내 사이트 리스트(일부 삭제)
김지훈 누리랩 엑스엔진센터장은 “정상 웹사이트 해킹, CJ대한통운 사칭, 악성 앱 유포, 네이버 블로그 및 국내 서버를 이용한 명령제어 등 복합적인 공격 요소가 결합된 정교한 피싱 공격”이라며 “특정 전화번호를 입력해야만 악성 앱 설치가 가능하도록 한 점은 보안 분석 시스템의 탐지를 회피하고, 공격 대상을 정밀 타깃팅하기 위한 설계로 보인다”고 설명했다.
누리랩은 이와 같은 공격이 계속 확산되고 있는 만큼, 출처가 불분명한 문자나 택배 알림 메시지를 통해 앱 설치를 유도받는 경우 절대 설치를 하지 말고, 해당 내용을 한국인터넷진흥원(KISA)이나 통신사 고객센터 등에 즉시 신고할 것을 강력히 권고했다. 또한 누리랩은 “수신한 메시지의 링크가 진짜 택배사 홈페이지인지 직접 확인해야 하며, 의심스러운 링크는 누리랩 AI 기반 안티 피싱 솔루션 ‘에스크유알엘(ASKURL)(클릭)’ 서비스로 사전에 검사하는 것이 피해 예방에 효과적”이라고 강조했다.
이어 “실제 해킹 피해를 입은 웹사이트 운영자들도 자신들의 서버가 공격 인프라로 악용되고 있다는 사실을 인지하는 즉시, 관련 기관에 신고하고 접속 차단 및 서버 복구 조치를 빠르게 취해야 추가 피해 확산을 막을 수 있다”고 밝혔다.
누리랩은 앞으로도 악성 앱 및 C2 인프라의 추적과 분석을 지속하며, 정기적으로 관련 정보를 공유할 계획이다. 사용자와 기업 모두가 경각심을 갖고 대응에 나서야 할 시점이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
출처 : 데일리시큐(https://www.dailysecu.com)
피싱 메시지로 의심된다면, 에스크유알엘에 물어보세요!
누리랩 에스크유알엘(AskURL) 카카오톡 채널 추가
'누리랩 뉴스' 카테고리의 다른 글
| 에스크유알엘(AskURL) 홈페이지 & 로고 새단장! (0) | 2025.08.05 |
|---|---|
| 위협 주의보(脅威アラート) 일본어 페이지가 오픈 되었습니다. (1) | 2025.08.04 |
| 누리랩 기업 홍보영상 촬영 후기! Ready, Go~ (3) | 2025.07.24 |
| [누리랩] 일본 피싱 대책 협의회 2025년 6월 피싱 신고 현황 (1) | 2025.07.21 |
| 에스크유알엘(AskURL), 피싱 탐지결과 분류 기준표 공지 안내 (1) | 2025.07.21 |