3.20 전용백신 위장 악성코드 유포 시도 포착

한국인터넷진흥원(KISA) 사칭 메일로 악성코드를 유포하려는 시도가 포착돼 사용자들의 주의가 요구된다.

 

이번 악성코드는 KISA가 ‘3.20 전산망 장애 전용백신’을 제공한다는 안내 메일로 위장해 유포되고 있다. 3.20 이후 사용자들의 불안 심리를 자극해 첨부파일을 내려받거나 메일을 회송하게 함으로써 지능형지속위협(APT) 공격을 시도한 것으로 보인다.

 

공격자는 chol.com 계정을 사용해 이 계정을 가진 다른 특정인에게 이메일을 보낸 것으로 나타났다. 메일 제목은 ‘3.20 전산대란 악성코드 검사/치료용 보호나라(KISA) 백신에 관련’이다.

 

 

본문은 ‘3.20 전산대란을 일으켰던 악성코드가 심겨져 있는지 검사/치료할 수 있는 전용백신에 관련 KISA 안내입니다’로 시작된다. 마지막에는 ‘인터넷 진흥원 홍보실’로 메일 작성자를 가장했다.

 

메일에 첨부된 ‘다운로드 및 사용방법 안내.alz’는 동일한 파일명의 chm 도움말 파일을 포함하고 있다. 그러나 해당 도움말 파일을 실행하면 화면에는 전용백신을 가장한 도움말이 나타나지만 백그라운드에서는 악성코드가 생성 및 실행된다. 안랩에 따르면 첨부파일에 포함된 악성코드는 ‘Dropper/Backdoor’라는 이름으로 진단됐다.

 

이 악성코드는 국내에 위치한 C&C 서버와 통신을 한 후 추가로 악의적인 행위를 하는 것으로 추정된다. 그러나 분석 당시 이 C&C 서버가 정상 동작하지 않는 상태여서 어떤 악의적 행위를 하는지는 확인되지 않았다.

 

현재 KISA는 보호나라(www.boho.or.kr) 사이트를 통해 이 같은 사실을 알리고 사용자 주의를 촉구했다. 또한 C&C 서버를 접속 차단하고 웹사이트에 주의사항을 공지하는 등 긴급 조치를 한 상태다.

 

KISA는 “KISA 등 공공기관, 금융기관, 금융사 등은 이메일에 실행파일을 첨부해 배포하지 않는다”며 “전용백신은 보호나라 공식 홈페이지에서 배포하고 있으며 기본적인 보안수칙을 숙지하고 실천하면 악성코드 감염의 위험으로부터 보호할 수 있다”고 당부했다.

 

노동균 기자 yesno@it.co.kr

상품지식 전문뉴스 미디어잇