정보보호 제품으로 위장한 악성코드가 극성이다. 보안 제품이라고 믿고 받은 파일이나 앱이 오히려 정보를 빼내는 악성코드일 수 있어 각별한 주의가 요구된다.
29일 하우리(대표 김희천)는 자사 백신인 ‘바이로봇’ 이름을 쓰는 악성코드가 발견됐다고 밝혔다. 지난 2월 바이로봇 아이콘으로 위장한 악성코드가 발견된데 이어 이번에는 아예 파일 이름이 ‘ViRobotUP.dll’로 일반 사용자에게 혼돈을 준다.
이 악성코드는 공격자 서버에서 명령을 전달받아 웹브라우저 ‘인터넷익스플로러(IE) 버전과 계정 정보, 백신 프로그램과 프록시 서버 정보 등을 수집한다. 피해자 PC 키보드 입력 값을 빼돌리며 파일과 폴더 이름을 변경한다.
하우리는 일반 사용자는 백신을 항상 최신 상태로 유지하고 악성코드 PC 유입을 사전에 차단하는 ‘하우리 APT 쉴드2.0’ 설치를 권고했다.
안랩(대표 권치중)의 게임 보안 솔루션 ‘핵쉴드’ 업데이트 파일을 사칭한 악성코드도 나타났다. 핵쉴드 사칭 악성코드에 감염되면 피해자 PC에 지속적으로 악성코드가 내려온다.
보안 기업이 악성코드 배포 서버를 신속하게 대응하면서 공격자는 경로를 바꿔가며 교묘하게 지속적으로 악성코드를 퍼트린다. 핵쉴드 사칭 악성코드 역시 배포 서버를 유연하게 선택하도록 호스트명과 스크립트명을 이분화한 것이 특징이다. 하나의 악성코드 안에 변조되지 않은 호스트명 여러 개를 둬 배포지 차단과 대응을 어렵게 한다.
안랩측은 “공격자는 과거 웹사이트나 사회 공학적 취약점을 이용하는 ‘드라이브-바이-다운로드(Drive-by-download)를 썼는데 최근에는 업데이트 프로그램의 설계상 취약성을 노리거나 직접적으로 업데이트 서버를 해킹해 정상 파일을 악성코드로 바꿔치기하고 있다”고 설명했다. 안랩은 “업데이트 서버를 운영하는 기업과 기관은 안전성과 보안성 문제를 검토해야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com