[보안뉴스 호애진]  PC방을 타깃으로 ARP 스푸핑을 통한 ‘훔쳐보기 프로그램(원격접속 프로그램)’ 유포 사고가 끊임없이 발생하고 있어 문제가 되고 있다.

이 악성코드는 ARP 스푸핑을 통해 감염된 PC와 동일 네트워크에 있는 다른 PC도 전염시킨다. 즉 한대의 PC만 감염돼도 PC방 전체 PC가 감염된다는 것을 의미한다.  

한국인터넷진흥원(KISA)이 최근 발표한 ‘2월 인터넷 침해사고 동향 및 분석 월보’에 따르면 공격자는 대부분의 PC방에 설치된 특정 액티브X의 취약점을 공략하며, 내부 네트워크 전파를 목적으로 ARP 스푸핑 및 공유폴더를 통해 유포시키는 등 PC방 환경에서 최적화된 악성코드 유포기법을 사용하고 있다.

악성코드 분석 결과, 공격자는 도박 게임을 하는 PC에 ┖훔쳐보기 프로그램┖을 설치해 게임 머니를 획득하려고 악성코드를 유포한 것으로 나타났다.

이번 신종 ARP 스푸핑 악성코드의 경우, 과거 ARP스푸핑 악성코드(IE 취약점을 이용하는 악성페이지를 아이프레임으로 삽입 전파)와 달리 특정 게임의 액티브X 취약점을 이용하는 악성페이지를 아이프레임으로 삽입한다.

이 악성코드는 백신프로세스를 강제 종료 및 파일을 삭제시키며, 원격접속 프로그램을 설치하고, 악성코드가 생성한 파일에 등록돼 있는 도박 게임 실행 시 C&C로 접속을 시도하는 것으로 나타났다.

KISA 인터넷침해대응센터 관계자는 “대부분의 PC방에서 하드디스크 이미지를 생성해 주기적으로 복구를 수행하기 때문에 악성코드에 감염되더라도 복구 후에는 감염되지 않은 이전 상태로 돌아갈 수 있다”며 “그러나 하드디스크 복구 이미지의 생성된 기간이 길어지면, 하드디스크 복구 후에 보안 업데이트가 되지 않은 취약한 상태가 되는 위험이 존재한다”고 밝혔다.

그는 또  “악성코드 감염 및 침해 사고를 예방하기 위해서 PC방 관리자는 윈도우 업데이트 및 방화벽 설정 등 기본적인 보안 설정뿐만 아니라, 하드디스크 전체 백업 주기를 최대한 짧게 하는 등 적극적인 보안 조치가 필요하다”고 덧붙였다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>