| [김정일 사망] 김정일 여동생 사진 가장한 악성파일 유포! | 2011.12.22 | ||||
사회공학적 기법과 더불어 사회심리학적 기법 부수적 활용
북한 김정일 국방위원장의 사진파일처럼 위장한 악성파일이 해외에서 유포 중인 것을 발견해 주의를 당부한 바 있는 잉카인터넷 시큐리티대응센터 대응팀은 “22일 새벽 4시경 김정일의 여동생이며, 북한 최고인민회의 대의원으로 알려져 있는 김경희의 사진으로 위장한 악성파일이 해외에서 유포 중인 것이 추가로 발견됐다"며, 유사 내용을 목격시 각별한 주의를 다시금 당부했다. 이 악성파일의 경우도 실행이 되면 정상적인 김경희 사진을 출력하며, 사용자 몰래 악성파일을 추가로 설치하는 형태를 띄고 있다. 김정일 사망 이슈와 관련해 여동생 등 다양한 내용들로 악성파일이 끊임없이 발견되고 있으므로, 인터넷 이용자들의 이러한 부분에 좀더 각별한 주의가 요망된다. 잉카인터넷 대응팀은 기존에 알려졌던 악성파일의 코드를 부분적으로 변형한 유사 변종들을 다수 발견한 상태인데, 공격자들은 자신이 만든 악성파일이 안티 바이러스 제품 등에서 탐지되는 것을 우회하기 위해서 꾸준히 변종을 제작해 유포를 시도하는 것으로 추정했다. 또한 잉카인터넷 대응팀은 2011년 12월 22일 새벽 4시 경에는 ZIP 압축파일 형태로 존재하며, 내부에 김정일 죽음과 관련된 영문 내용의 PDF 문서파일처럼 위장한 악성파일을 내부에 포함한 형태도 발견해 긴급 대응을 함께 진행하고 있는 상태다. 이번에 김경희 사진처럼 가짜로 위장한 형태는 악의적인 해커들이 사회공학적 기법과 더불어 사회심리학적 기법을 부수적으로 활용해 김정일 사망과 관련해 김경희 사진에도 관심을 가질 수 있다는 점을 심리적으로 노린 점이 특징이다. 이러한 종류의 악성파일에 감염될 경우에는 악의적인 해커에게 원격제어 등을 통해서 또 다른 해킹 위협에 노출될 수 있다. 김경희 사진(또는 화면보호기) 파일처럼 가장한 ‘Kim Kyung-hee.scr’ 악성파일이 실행되면 다음과 같이 TEMP 폴더에 Kim Kyung-hee.jpg라는 정상적인 실제 사진파일과 msrt.exe 파일이 생성되고 자동으로 실행된다.
msrt.exe는 자동압축해제(Self-extracting RAR)가 가능한 형태이며, 실행이 되면 Local Settings 폴더에 wship6.tmp, server.exe 파일의 압축을 해제해 실행하고, server.exe 파일을 chksrv.exe라는 파일명으로 변환시킨 후 악성파일을 사용자 몰래 함께 설치하고 실행시킨다.
사용자의 컴퓨터 화면에는 아래와 같이 실제 김경희 사진파일(Kim Kyung-hee.jpg)을 실행해서 보여주기 때문에, 사용자는 자신이 실행한 파일이 정상적인 파일로 착각할 수 있다.
이에 문종현 잉카인터넷 시큐리티대응센터 대응팀장은 “이와 같은 악성파일로부터 안전한 PC 사용을 위해서는 김정일이나 가족친지 등과 관련된 다양한 사진내용으로 위장된 파일을 무심코 실행하지 않도록 하며, 보안 취약점을 통해서 전파를 시킬 수 있으므로 최신 보안 패치를 설치하는 것도 중요하다”고 강조하며 다음과 같은 기본적인 보안관리 수칙을 제시했다. [보안 관리 수칙] 1. 윈도우 운영체제 및 응용 프로그램에 대한 최신 보안 패치를 적용하도록 한다. 2. 출처가 불분명한 이메일에 첨부파일이나, 특정 웹사이트 등에 업로드 되어진 파일에 대한 다운로드 및 열람은 자제하도록 한다. 3. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴버전으로 업데이트하며, 실시간 감시 기능을 항상 ‘ON’ 상태로 유지하도록 한다. 4. 인스턴스 메신저 또는 SNS 등을 통해 접근이 가능한 링크 접속시 주의 하도록 한다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
.jpg)