이스트소프트는 13일 최근 호스트 파일을 변조하는 방식으로 주요 포털사이트의 아이디와 패스워드를 가로채는 악성코드가 발견됐다며 사용자들의 주의를 당부했다.
해당 악성코드는 사용자의 호스트 파일에서 네이버 로그인 관련 도메인을 변조해 악성코드에 감염된 사용자가 네이버에 접속을 시도할 때, 해커가 변경한 로그인창을 띄워 사용자가 입력한 아이디와 패스워드 정보를 탈취한다. 탈취된 정보는 미국 시카고에 위치한 특정 서버로 전송된다.
특히 변경된 로그인창이 정상 로그인창과 그 차이를 쉽게 인지할 수 없을 만큼 유사하게 제작돼 사용자들은 정상적으로 네이버에 접속한 것으로 인식, 별다른 의심 없이 로그인 정보를 입력하게 된다.
또 다음과 네이트의 경우, 해당 악성코드에 감염될 경우 별도의 호스트 파일 변조 없이 일상적인 사이트 접속 후 사용자가 입력한 로그인 정보를 가져가는 형태를 취하고 있다.
특히 다음과 네이트의 경우는 감염됐더라도 정상적으로 로그인되고 있어 악성코드 감염을 의심하기 어려운 상태인 만큼 악성코드 감염에 따른 피해가 클 것으로 예상된다.
알약개발부문 김준섭 부문장은 “대형 포털 사이트의 로그인정보 탈취를 목적으로 제작된 악성코드가 발견된 만큼 일상적으로 포털 사이트에 접속하는 다수의 사용자가 피해를 입을 가능성이 있다”며 “주요 포털 사이트 사용자는 알약 검사를 통해 해당 악성코드에 감염 여부를 확인하고 악성코드가 발견 시 포털 사이트의 패스워드를 수정해야 한다”고 당부했다.