컴퓨터 작동 중단에서 돈 요구하는 트로이목마까지 등장

날로 진화하는 트로이목마, 사회곳곳에서 다각적인 위협성 드러내

트로이목마가 다각적이고 지능화된 플레이를 선보이며 일취월장(?)하고 있어 인터넷사용자들의 주의가 요구되고 있다.

컴퓨터 작동을 중단시키고, 심비안 기반 휴대형 기기에 출현한데 이어 PSP를 공격하더니 이젠 돈을 요구하는 트로이목마 바이러스까지 등장한 것. 이젠 트로이목마 퇴치에 국민적 관심과 대응책이 절실히 요구되고 있다.

얼마전 발견된 PC 날짜를 반복해서 변경하는 ┖다운로더┖ 트로이목마가 스파이웨어 설치를 노리고 유포되는 사건이 발생됐다.

이 트로이목마는 컴퓨터 날짜를 반복적으로 바꾸고 인터넷 접속이나 다른 작업을 할 수 없게 만들 뿐아니라 스파이웨어 설치를 위해 유포된 것으로 추정된다고 안철수연구소가 밝힌바 있다. 또한 이 스파이웨어는 2005년 6월 처음 발견된 이후 지금까지 가장 널리 퍼진 스파이웨어 중 하나로 사용자의 동의를 받지 않고 설치되며, 기존 키워드 검색 프로그램이나 특정 안티스파이웨어 프로그램을 삭제한다.

안연구소 시큐리티대응센터 강은성 상무는 "트로이목마는 자체 전염 기능이 없기 때문에 컴퓨터 속도를 빠르게 하거나 컴퓨터를 청소해주는 유틸리티로 가장해 온라인 게시판에 올려지거나 인기있는 게임이나 일반 소프트웨어의 불법복제판에 포함돼 유포되는 경우가 많다"면서 "사용자는 게시판에 올려진 프로그램을 함부로 내려받지 말아야 하고, P2P 프로그램을 이용할 때도 내려받는 파일에 주의를 기울여야 한다"고 당부했다.

이와함께, 보안 연구가 등이 새로운 특징을 가지는 2종의 트로이 목마에 대해 경고하고 나섰다. 이 트로이 목마는 원 타임 패스워드를 훔치거나 루트킷에 잠복해 있다고 한다.

각각 별개로 확인된 이런 악질적인 프로그램의 존재는 여러 보안 기업에 의해서 이번 주 발표됐다. 둘다 해커가 고안한 새로운 타입의 트로이 목마로, 무해한 소프트웨어로 보이도록 위장하고 있다.

스파이 에이전트 및 PWS라고 하는 명칭으로도 알려져 있는 메타피셔(MetaFisher)의 공격 대상이 된 것은 영국이나 독일, 스페인의 은행이다. 이 트로이 목마는 컴퓨터를 감염한 뒤, 유저가 은행의 공식 사이트를 열람하는 것을 기다렸다가 악질적인 HTML를 특정의 필드에 삽입한다. 이렇게 해 유저가 그 필드에 입력하는 원 타임의 개인 인증 번호(PIN)나 결제 번호를 훔치는 것이다.

한편, 피해자가 돈을 지불하지 않으면 파일을 없애버리겠다고 위협하는 새로운 트로이목마가 등장했다. 이것은 ‘랜섬웨어’의 일종으로 보안 전문가들이 주의를 당부하고 있다.

안티바이러스 기업인 소포스에 의하면, ‘랜섬-A(Ransom-A)’라고 불리는 이 트로이목마가 작동하면 노골적인 이미지가 표시된다. 그 다음엔 10.99달러를 지불하지 않으면, 30분마다 파일을 1개씩 없앤다는 으름장을 놓는다고 소포스랩의 보안 전문가가 지난달 28일에 발표했다.

소포스의 수석 컨설턴트인 그레헴 클루리는 “이 트로이목마는 사용자의 데이터를 볼모로 잡고, 파일을 1개씩 지우겠다는 위협을 함으로써 몸값을 요구하고 있다”고 밝혔다.

소포스에 따르면 트로이목마는 웨스트 유니언의 송금 서비스를 통해 지불하도록 지정해 놓았으며 몸값이 지불된 뒤에 특별 해제 코드를 보내겠다고 한다.

수개월 동안 돈을 강제로 빼앗으려고 시도하는 악질적인 소프트웨어가 나타나는 것은 이것으로 두번째다. 2006년 3월에는, 피해자의 파일을 암호화해놓고 300달러를 지불하면 암호를 해제하겠다고 협박하는 트로이목마가 나돌았다. 또 2005년 5월에도 유사한 공격이 있었다.

소포스는 데이터를 백업해두고 보안 소프트웨어를 업데이트해서 이러한 몸값 요구형의 트로이목마와 같은 맬웨어에 대비하도록 권고하는 것은 물론, 이메일의 첨부 파일을 열 때나 안전하지 않은 웹사이트를 검색할 때는 신중을 기해야 한다고 당부했다.

[한수진 기자(is21@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>