웹하드와 온라인게임, 메신저 서비스를 위한 정상적인 업데이트 파일에 정체를 숨긴 악성코드 비상령이 내렸다. 정상적인 파일에 붙어 들어와 악성코드인지 파악이 안 되는 사례도 많아 피해가 확산될 전망이다.
25일 보안 업계는 웹하드나 온라인게임, 인터넷방송 등 일상적인 웹 서비스용 업데이트 파일에 정체를 숨긴 악성코드가 증가하고 있어 주의를 요구했다. 서비스 운영에 자동 업데이트 기능을 이용하는 기업의 보안 강화가 시급하다.
그동안 공격자는 웹사이트 보안 취약점을 이용해 사이트에 방문하는 사용자 PC를 악성코드에 감염시키고 좀비PC로 만들었다. 관련 공격 기법이 많이 알려져 기업 대응이 빨라지자 정상적인 인터넷 서비스의 업데이트 파일로 눈을 돌렸다.
최근 국내 웹하드 5곳 자동 업데이트 기능이 해커에 악용됐다. 고객은 정상적으로 서비스를 이용했을 뿐인데 모르는 사이에 악성코드에 감염됐다. 특히, 웹하드 프로그램은 사용자가 웹하드 서비스를 쓰지 않아도 PC 시작과 동시에 자동 실행된다. PC만 켜도 악성코드에 감염되는 셈이다.
이 악성코드는 V3와 알약 등 보안제품 우회를 시도하는 기능도 들어있다. 악성코드는 네이버와 다음, G마켓 등 유명 인터넷 사이트 접속 시 호스트 파일을 가짜 웹사이트로 연결한 후 ‘금융결제원 전자인증센터’ 팝업창을 띄운다. 은행, 신용카드 웹으로 접속을 유도해 금융정보를 빼낸다. 웹하드는 물론이고 인터넷 동영상이나 온라인게임, 메신저 서비스도 같은 문제에 노출돼 대책 마련이 시급하다.
최상명 하우리 차세대보안연구센터장은 “이용자가 많은 웹하드와 온라인게임 업데이트 파일에 악성코드를 숨기면 단기간에 수많은 좀비PC를 만들거나 금융정보를 탈취할 수 있다”며 “정상적인 업데이트 파일 안에 악성코드가 들어 있어 백신 등 기존 보안솔루션으로 탐지가 쉽지 않다”고 지적했다.
문종현 잉카인터넷 부장은 “대부분 기업은 서비스 업데이트 모듈에 암호화를 하지 않는다”며 “해커 공격에 관련 파일이 쉽게 노출돼 변조하기 쉽다”고 설명했다. 문 부장은 “악성코드가 유포되는 사이트에 방문하지 않아도 언제나 피해자가 될 수 있다”며 “기업 업데이트 모듈에 암호화를 강제화하기 힘들어 업데이트가 잦은 기업 서비스를 예의주시하고 있다”고 덧붙였다.
김인순기자 insoon@etnews.com