오픈소스 웹브라우저 파이어폭스의 확장 SW를 가장해 사용자 PC에 침투, 사용자 ID·암호·사용 URL 등을 훔치는 트로이목마가 발견됐다고 테크웹이 25일(현지시각) 보안업체 맥아피의 보고서를 인용, 보도했다.
맥아피 보고서에 따르면 ‘폼스파이(FormSpy)’라는 이름의 이 트로이목마는 마우스 움직임과 눌려지는 키를 모니터해 온라인 뱅킹, 신용카드 결제 등에 사용되는 ID·암호 등 로그인 정보와 파이어폭스에서 입력하는 URL을 훔친다. 또 ICQ와 FTP 세션 등에서도 암호를 훔쳐낸다고 맥아피는 설명했다.
폼스파이가 수집한 모든 정보는 트로이목마 코드에 입력된 IP 주소로 보내진다.
맥아피는 폼스파이가 월마트 이름으로 보내진 스팸메일의 첨부파일을 열면 사용자 PC에 설치된다고 설명했다.
폼스파이의 특징은 키패드로 웹서핑을 할 수 있게 하는 정식 파이어폭스 애드온 SW ‘넘버드링크(Numberedlinks) 0.9’을 가장했다는 점이다. 폼스파이는 이 프로그램의 진짜 코드 중 일부를 사용해 파이어폭스에 침투한다.
맥아피는 감염된 사용자가 파이어폭스에서 직접 설치된 애드온 SW를 검색하지 않는 이상 폼스파이 설치 여부를 알 수 없다고 설명했다.
크레이그 슈머거 맥아피 바이러스연구 매니저는 “폼스파이는 그동안 비판받아온 파이어폭스 SW의 보안 문제를 다시 쟁점화할 것”이며 “파이어폭스 제작사인 모질라는 보안에 더욱 많은 신경을 써야 한다”고 말했다.
맥아피는 이 트로이목마가 첨부된 메일을 다수 발견했으나 실제 감염된 PC사용자는 적을 것이기 때문에 현재 낮은 보안 위협 등급으로 분류하고 있다고 밝혔다.
최순욱기자@전자신문, choisw@