올해 1분기, 사용자 노린 악성코드는?


문서 탈취해 웹하드 업로드·1분마다 사용자 도촬…수법 '교묘'

[김수연기자] 올해 1분기, 어떠한 악성코드들이 사용자들의 보안을 위협했을까?

8일 안랩에 따르면 1분기 동안 ▲사용자 PC 내 모든 문서 파일을 탈취해 웹하드에 업로드하는 등 복합적인 기능을 수행하는 악성코드 ▲노트북에 내장된 카메라로 사용자의 모습을 1분마다 도촬하는 악성코드 등 교묘한 수법으로 사용자가 가진 정보를 빼내는 악성코드들이 발견됐다.

이와 함께 단축 URL로 스마트폰 사용자를 특정 사이트로 유도하는 스팸 메시지도 기승을 부렸다.

◆ "내 PC에 있는 모든 문서가 해외 웹하드에?"

회사에 출근해 PC를 켜고 여느 때처럼 메일을 확인하던 A씨. 이날 A씨는 PC에 있는 모든 문서를 자기도 모르는 사이에 통째로 악성코드 제작자에게 넘기고 말았다.

PC내에 있는 모든 MS 워드 파일과 엑셀 파일들이 압축돼 해외에 서버를 두고 있는 한 웹하드에 업로드 됐고, 악성코드 제작자가 이를 탈취해 간 것.

페덱스(FedEx) 운송장으로 보이는 첨부파일을 클릭한 게 화근이었다.

이처럼 택배업체 페덱스의 운송장 메일로 위장해 PC 내의 모든 MS 워드 파일(doc, docx)과 엑셀 파일(xls, xlsx)을 탈취하는 악성코드가 올해 1분기에 발견됐다.

문서 파일 탐색, 압축, 압축 파일 전송, 웹하드 업로드 기능 등이 모두 포함돼 있다는 점이 이 악성코드의 특징이다.

안랩 측에 따르면 이 악성코드는 'Your package is available for pickup.NO#8248'이라는 제목의 메일을 통해 전파됐으며, 여기에는 'FedEx_Invoice.exe'라는 이름이 파일이 첨부돼 있다.

첨부 파일을 실행하면 확장자가 'txt'인 악성코드가 다운로드 되며, 실행된 악성코드는 사용자 PC에 존재하는 문서 파일들을 검색하고, 발견된 문서 파일들을 'c:\Documents and Settings\Administrator\Local Settings\Temp' 폴더에 임의의 파일명으로 압축해 저장한다. 사용자가 사용하는 외장 하드 등 드라이브에 존재하는 문서까지도 수집할 수 있다.

압축된 파일은 특정 웹하드 업체 서버로 전송되며, 악성코드 제작자는 전송된 파일들을 취한 뒤 이를 웹하드에서 삭제해버린다.

안랩 이호웅 시큐리티대응센터(ASEC) 센터장은 "일반적으로 국내의 개인 사용자는 영어로 된 페덱스 관련 메일을 스팸으로 분류하기 때문에 감염 위험이 높지 않지만, 업무상 영문 메일을 많이 주고 받거나 페덱스 국제 화물 운송을 자주 이용하는 사용자는 감염될 위험이 있으므로 주의해야 한다"고 말했다.

이러한 악성코드에 감염되는 것을 예방하려면 ▲안티스팸 솔루션을 도입해 스팸, 악의적인 이메일의 유입을 최소화하고 ▲출처가 불분명하거나 의심가는 제목의 메일은 열지 말고 바로 삭제해야 하며 ▲메일에 첨부된 파일은 바로 실행하지 말고 우선 저장한 다음, 보안 프로그램으로 검사한 후 실행해야 한다.

또한 ▲이메일에 포함된 확인되지 않은 웹 사이트 링크를 클릭하지 말아야 하며 ▲윈도, 인터넷 익스플로러, 오피스 제품 등의 보안 업데이트를 모두 설치해야 하고 ▲중요 문서 파일은 암호를 걸어 저장해야 한다.

◆ 누군가 나를 지켜보고 있다?…웹캠으로 도촬하는 악성코드

노트북에 내장된 카메라나 PC에 연결된 웹캠을 이용해 사용자를 도촬하는 악성코드도 발견됐다.

안랩에 따르면 해당 악성코드는 PC에 연결된 웹캠을 이용해 분당 1회의 사진을 찍어, 이를 BMP 형식으로 저장해 악성코드 제작자가 지정한 서버로 전송한다. 사진과 함께 감염된 PC의 OS 버전, 사용자 정보, PC 이름, SID 정보 등도 전송된다.

이호웅 센터장은 "온라인게임핵과 같이 사용자 계정 정보를 탈취하거나, 가짜 온라인 뱅킹 사이트를 만들어 계좌 정보를 탈취하는 피싱을 넘어, 개인의 민감한 사생활을 엿보는 트로이목마가 등장하는 등 악성코드의 진화는 계속되고 있다"고 말했다.

그는 이어 "이 악성코드에 감염되면 러시아 URL로 접속되는 것으로 보아 러시아에서 제작된 것으로 추정되며, 해외 사이트를 주로 이용하는 사용자들의 각별한 주의가 필요하다"고 설명했다.

이러한 악성코드 감염을 예방하기 위해서는 ▲윈도 XP 사용자의 경우, SP 버전을 최신으로 유지해야 하며 ▲IE 8.0 이상의 브라우저를 사용하거나 타 브라우저를 사용해야 한다.

또한 ▲노트북의 웹캠을 사용하지 않을 때에는 시스템 설정 메뉴에서 사용을 중지하고 ▲PC에 연결된 웹캠을 사용하지 않을 때에는 PC에서 분리해야 한다.

◆ 스마트폰 문자 메시지로 전달되는 단축 URL '주의'

이와 함께 올해 1분기에는 단축 URL(Shorten URL Service)을 포함한 스팸 문자 메시지가 기승을 부렸다.

단축 URL은 원본 URL을 짧게 변환한 것으로, 이를 클릭하면 특정 웹 사이트로 바로 연결된다. 문제는 이 과정에서 악성코드나 피싱 사이트 등의 보안 위협에 노출될 수 있다는 것.

이호웅 센터장은 "단축 URL을 이용한 보안 위협은 트위터와 같은 소셜 네트워크 서비스에도 존재한다"며 "따라서 스마트폰뿐만 아니라 트위터를 통해 전달되는 메시지에 포함된 단축 URL을 클릭할 때에는 각별한 주의가 필요하다"고 당부했다.

김수연기자 newsyouth@inews24.com







포토뉴스