본문 바로가기

벌새::Security

온라인 악성코드 검사 서비스 VirSCAN.org 짝퉁 사이트 발견 소식

반응형
중국에서 서비스하는 온라인 악성코드 검사 서비스 VirSCAN.org와 동일한 소스를 가지고 있는 짝퉁 사이트가 발견되었다는 소식입니다.

VirSCAN.org 서비스 검사 장면


VirSCAN.org 서비스는 총 37개의 보안제품 온라인 스캔 방식으로 악성코드로 의심되는 파일을 다양한 백신으로 쉽게 검사해 볼 수 있는 무료 진단 서비스입니다.

국내 보안업체 안철수연구소(AhnLab)하우리 바이로봇(Hauri ViRobot), 잉카 엔프로텍트(INCA nProtect) 제품이 추가되어 있으며, 한글 서비스도 가능한 상태입니다.

VirSCAN.org DNS 정보


해당 서비스의 DNS 정보를 확인해보면 221.207.255.61(China)로 등록되어 있습니다.

하지만, 최근에 발견된 짝퉁 서비스는 완전히 동일한 소스를 이용하여 구성되어 있으며, 도메인 정보만 다르게 구성되어 있습니다.

VirSCAN.org 짝퉁 사이트 검사 장면


테스트를 위해서 동일한 샘플에 대해 동일 시간에 해당 2개 사이트에 업로드를 시도할 경우 정상적인 VirSCAN.org 서비스는 악성코드 검사가 진행되지만, 짝퉁 사이트에서는 그림과 같이 에러 메시지를 출력하면서 파일만 업로드되는 것을 확인할 수 있었습니다.

VirSCAN.org 짝퉁 DNS 정보


문제의 사이트 DNS 정보를 확인해보면 222.75.167.61(China)로 중국에서 등록된 것은 분명하지만 서비스 공급자는 다른 사람으로 추정되고 있습니다.

이 사이트의 문제점은 만약 특정 샘플을 확인하기 위해 민감한 자료를 짝퉁 사이트에 업로드시 해당 자료가 외부로 유출될 가능성이 있다는 점입니다.

이런 타인의 정보를 수집할 목적으로 제작되어 마치 정상적인 VirSCAN.org 서비스처럼 위장하고 있을지는 확인이 불가능하지만, 민감한 파일이 감염된 경우 검사를 위해 온라인 상에 업로드하는 행위가 위험할 수 있다는 사례가 아닐까 생각됩니다.

반응형