변종 트로이목마...백신 돌려도 잡는데 어려움

이용자 스스로 보안의식 높이는 것이 최우선

최근 들어 메신저를 사용하다보면 친구가 보낸 쪽지에 이상한 URL이 찍혀 발송돼 오는 경우가 종종 있다. 하지만 이런 경우 절대 URL을 열어봐서는 안된다. 물론 친구가 보낸 쪽지도 아니다. 

이 URL을 클릭하면 이용자 PC에는 hf1001 등의 변종 트로이목마가 감염될 수 있다. 전문가들은 “URL을 클릭하는 순간 PC에 트로이목마가 설치되고 주로 게임계정 정보를 탈취할 목적으로 사용되는 수법중 하나다”라고 설명했다.

문제는 일부 메신저 계정 리스트가 탈취된 상태에서 이를 사용해 계속해서 트로이목마가 숨겨진 URL 쪽지를 뿌리고 있기 때문에 주의를 하지 않는다면 감염이 계속 확산될 수 있다는 점이다.

또한 백신업체들도 계속해서 만들어지는 이들 변종 트로이목마를 잡는데 한계를 느끼고 있다. 그래서 일부 안티바이러스 백신은 메신저 쪽지로 전파되는 변종 트로이목마를 잡아내지 못하고 있기 때문에 실시간 백신 사용을 과신하지 말고 이용자 스스로가 의심이 가는 URL은 클릭하지 말 것을 전문가들은 당부하고 있다.

전문가들은 “URL을 통해 악성코드가 받아지는 것이지 실제 악성코드 파일이 전달되는 것이 아니다”라며 “이런 경우 사용자가 직접 클릭해서 다운로드 받고 이를 실행해야만 감염이 된다. 따라서 이용자의 주의가 전적으로 필요하다”고 강조했다.

특히 네이트온과 버디버디 등 이용자들은 주의를 기울여야 한다. 메신저 서비스 중 쪽지를 이용해 악성코드를 전파하려 하고 있기 때문에 MSN메신저를 이용한 공격방법과는 다르다는 것이 전문가들 의견이다.

MSN메신저 공격은 주로 직접 악성코드 파일을 발송한다. 이때 exe 악성코드가 감염되면 악성해커는 사용자 PC에서 MSN메신저 설치 여부와 로그인 여부를 체크해 사용자 몰래 로그인해 다른 대화상대에게 악성코드 파일을 보내거나 악성코드가 삽입된 링크를 보내게 된다. 

한편 이 변종 트로이목마는 파일 삭제도 어려움이 있다. 감염을 인지하고 파일을 지우려고 해도 잘 지워지지도 않을뿐더러 감염되면 등록된 친구들에게도 이와 같은 쪽지가 무작위로 뿌려지도록 유도하는 프로그램도 설치돼 있어 계속 희생자를 확산시킬 수 있다는 위험도 있다.

메신저 서비스 제공업체도 주의를 기울여야 한다. 업체는 이상 URL 신고가 접수되면 사용하지 못하게 관계 기관에 협조를 구하거나 자체적으로 차단하는 노력이 필요하다. 이때 사용자에게 정보제공 목적으로 URL을 공개하거나 한다면 더 큰 확산 우려가 있기 때문에 주의를 기울여야 한다고 전문가들은 조언하고 있다.

가장 중요한 것은 이용자들의 보안의식이다. 현재 네이트온과 같은 경우는 3단계 보안로그인을 사용할 것을 이용자들에게 권장하고 있고 정체불명의 URL은 열어보지 말 것을 당부하고 있다. 이용자들은 이를 잘 숙지하고 따라줘야 한다.

메신저를 통해 공격하는 방법은 메신저의 취약점이 아니라 허술한 이용자의 보안의식을 파고드는 사회공학적 공격방법이라고 할 수 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>