영화 '반도' 다운받다가…백도어 악성코드 '비상'


토렌트서 잇단 유포…안랩 "파급력 상당" 주의 당부

[아이뉴스24 김국배 기자] 신종 코로나바이러스 감염증(코로나19) 확산으로 온라인으로 영화를 보는 일이 잦아지자, 이를 노린 악성코드도 증가하고 있다.

특히 파일 공유 프로그램 '토렌트'에서 최신 영화 파일을 위장한 악성코드가 잇따라 유포되고 있어 주의가 필요하다.

7일 안랩은 토렌트에서 영화 '반도' 동영상 파일로 위장한 백도어 악성코드가 유포된 정황을 포착했다고 밝혔다.

안랩 측은 "해당 파일이 업로드된 시점은 지난 4일 2시20분으로 확인됐다"며 "현재 해당 파일 감염자가 빠르게 증가하고 있다"고 말했다.

토렌트 사이트에서 영화 '반도'를 위장한 악성코드 파일이 유포됐다. [사진=안랩]

영화 파일처럼 보이는 이 파일은 실제로는 압축 파일로, 영화와 무관한 동영상 파일과 악성코드(Netbox.exe) 등 2개 파일이 담겨 있다. 사용자가 영화를 보기 위해 'Netbox.exe' 파일을 실행할 경우 백도어 악성코드가 동작하게 된다. 이 악성코드는 오픈소스 웹 브라우저인 '브레이브' 브라우저 설치를 유도하기도 한다.

백도어 악성코드가 명령제어(C&C) 서버와 연결되면 디도스(DD0S), 시스템 정보 유출, 웹캠 제어, 키로깅, 스크린 캡처 등 공격자로부터 다양한 명령을 받아 수행할 수 있다.

지난달에도 토렌트에서 영화 '결백'으로 위장한 백도어 악성코드가 유포됐다. 안랩에 따르면 보고된 감염 건수만 5만 건 이상이다.

마찬가지로 영화 파일처럼 보이는 압축 파일 내부에 영화와 관계없는 동영상 파일과 txt 파일, 악성코드(LOCK파일 해제.exe) 파일이 들어 있었다.

악성코드 제작자는 영화 동영상 파일 확장자를 '.LOCK'으로 변경해 마치 영화를 보기 위해서는 'LOCK파일 해제.exe' 파일을 실행해야 하는 것처럼 꾸며 악성코드 실행을 유도한 것이다.

이 파일을 실행하면 사용자가 정상 파일로 착각하게끔 악성 행위를 수행하기 전 아프리카TV 스트리머 설치 파일을 띄우기도 한다. 그러나 이미 악성코드에는 감염된 후다.

오민택 안랩 분석팀 주임연구원은 "토렌트를 통한 악성코드 유포 방식은 파급력이 상당히 크다"며 "불법 다운로드를 지양하고, 출처가 불분명한 사이트에서 의심스러운 파일을 다운로드 하지 않도록 각별히 주의해야한다"고 당부했다.

김국배기자 vermeer@inews24.com





포토뉴스