• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[김정일 사망] ‘김정일 시신 분석’ 허위 정보 등 클릭 주의!! 2011.12.20

이슈에 따른 악성파일 전파 고전적 수법...무심코 클릭하기 쉬워 


[보안뉴스 김정완] 사회 전반적인 이슈가 나올 때마다 악성파일을 전파해 악용하는 사례가 빈번하게 발생하면서 사용자들은 그에 대한 주의가 소홀해지기 쉽다. 이번 북한 김정일 국방위원장의 사망 소식에 따른 악성파일 전파 역시 그러한 예로 치부하기 쉽다. 하지만 이러한 고전적인 수법에도 이용자들은 무심코 링크를 클릭함으로써 피해를 입을 수 있다는 점을 명심할 필요가 있다.


2011년 12월 17일 북한 김정일 국방위원장의 사망 소식이 국내외적으로 큰 관심사로 떠오르고 있는 상황에서 잉카인터넷 대응팀은 김정일 사망 및 시신과 관련된 내용 중에 허위 내용 등을 보여줘 이용자로 하여금 링크나 동영상 플레이어로 위장된 이미지를 클릭하도록 유도하는 형태가 발견되고 있어 이에 대한 각별한 주의를 당부했다.


잉카인터넷 대응팀은 “최근 유명 연예인 사생활 동영상과 함께 악성파일을 유포한 사례나 카다피 시신 사진을 이용한 악성 이메일, 스티브 잡스 애플 전 CEO 사망과 관련된 악성파일 이메일 등이 보고된 바 있다”며, “이처럼 사회적으로 관심을 가지고 있는 내용이나 키워드 등을 이용해 악성파일이 기승을 부린 사례가 많으므로, 인터넷 이용자들은 이 점을 철저히 경계하는 자세가 요구된다. 이는 매우 고전적인 수법이지만 이용자들이 무심코 링크를 클릭 할 경우에 예기치 못한 피해를 입을 수 있다”고 지적했다.


잉카인터넷 대응팀은 이번 김정일 사망 및 시신과 관련한 내용 역시 이용자들의 관심을 불러일으킨 후에 특정 광고 목적 등으로 악용하는 실제 사례를 발견했으며, 악성파일 유포에 대한 감시 체계도 강화하고 있다.

 

이번 악성파일 유포 방식은 고전적 수법이기는 하지만 이용자들이 무심코 링크를 클릭하도록 유도하기 위해 현재 가장 크게 이슈로 부각되고 있는 김정일 사망과 관련한 ‘김정일 시신 분석’이라는 내용으로 유도하고 있다.


잉카인터넷 대응팀은 국내 특정 포털 사이트에서 운영하는 인터넷 카페에서 ‘김정일 시신 분석’이라는 내용 등으로 몇 가지 사진과 동영상처럼 보여지는 화면을 등록해 두고 악성코드를 유포하는 실제 사례를 발견했다.

 

[출처 : 잉카인터넷 시큐리티대응센터 대응팀]

 

동영상 재생 버튼으로 보여지는 위 화면은 마치 실제 클릭하면 동영상이 재생될 것처럼 보이지만, 해당 화면은 동영상 재생기가 아니라 단순 그림 파일이고, 재생 버튼을 클릭하면 특정 사이트가 열리게 된다.


이에 잉카인터넷 대응팀은 “이러한 방식은 매우 단순하지만 이용자들로 하여금 특정 웹사이트로 연결을 바로 유도시킬 수 있다”며, “이것은 일종의 피싱 수법으로 악성파일 전파하는데도 다수 이용되는 수법”이라고 설명했다.


또한 잉카인터넷 대응팀은 해외에서 김정일 사망과 관련된 유튜브 동영상 덧글에 포함된 링크를 클릭하면 풀버전의 비디오를 볼 수 있다는 허위 내용으로 유도해 광고성 파일이 설치되도록 유도하는 사례도 발견했다.

 

[출처 : 잉카인터넷 시큐리티대응센터 대응팀]

 

덧글에 포함된 링크를 클릭하면 아래 왼쪽 화면처럼 실제 해당 블로그로 연결되지만, 잠시 후에 바로 또 다른 도메인으로 강제 리다이렉션된다. 또한 아래 오른쪽 화면처럼 다시 리다이렉션된 웹사이트에서는 동영상을 재생하기 위한 특정 프로그램 설치를 유도한다.

 

[출처 : 잉카인터넷 시큐리티대응센터 대응팀]

 

이에 잉카인터넷 대응팀은 “Start 버튼을 클릭하면 특정 파일 다운로드를 시도하며, 사용자로 하여금 설치를 유도하게 되는데 이는 일종의 광고성 웹 툴바 형태”라며, “잉카인터넷 대응팀에서는 해외에서 보고된 이 파일에 대해서 nProtect Anti-Virus 패턴에 긴급 업데이트를 완료한 상태”이라고 설명했다.

 

특히, 해외에서는 김정일 사망과 관련된 내용으로 악성파일을 첨부한 이메일도 발견된 상태로 여러 가지가 악성파일로 존재하는 것으로 파악되고 있다. 잉카인터넷 대응팀에서도 해당 악성파일들을 신속하게 입수한 상태이며, 현재 긴급 업데이트를 진행 중에 있다고 밝혔다.


파일명은 다음과 같이 2가지 형태가 확인되었으며, PDF 취약점, DOC 취약점 파일이 각각 1개씩 확보되었다.


Brief introduction of Kim Jong-il.pdf

Kim Jong-ils death affects N. Koreas nuclear programs.doc


[출처 : 잉카인터넷 시큐리티대응센터 대응팀]

 

PDF 취약점을 이용한 악성파일이 실행되면 위와 같은 정상적인 문서를 보여주어, 사용자에게 마치 정상적인 파일처럼 이해하도록 만든다.

 

이와 같은 URL 및 동영상 클릭 유도는 사회적으로 관심을 끌고 있는 이슈 키워드 등을 이용하는 사회공학적 기법의 일반적인 방법이지만, 실제 악성파일 전파에도 악용될 가능성이 높다. 따라서 이메일이나 SNS, 웹 사이트 등에 올려진 URL 링크나 동영상 재생 등에 있어서 각별한 주의가 필요하다.


이러한 사회공학적 기법을 이용한 속임수의 경우 애초부터 사용자를 속이기 위해 고안되고 제작된 만큼 사용자 스스로 감염되지 않도록 관심을 가지고, 아래와 같이 잉카인터넷 시큐리티대응센터가 제시하는 ‘보안관리 수칙’ 등을 준수하는 노력이 필요하겠다.

 

◇ 잉카인터넷 시큐리티대응센터가 제시하는‘보안관리 수칙’

 

1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.

2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이  트하여 실시간 감시 기능을 ‘ON’ 상태로 유지해 사용.

3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드 지양.

4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.

5. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학적 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>