GoZeus 및 CryptoLocker 악성코드 해외에 이어 국내서도 발견

[보안뉴스 김지언] GoZeus와 CryptoLocker의 국제적 확산으로 인해 대규모 사이버공격의 위험성이 제기됐다.

이와 관련 영국 정부기관(NCA)은 금융정보 및 개인정보를 유출하는 제우스 변종 악성코드‘GoZeus’와 감염된 PC 내의 문서파일을 암호화시켜 금전을 요구하는‘CryptoLocker’의 위험성을 밝히며, 두 악성코드 감염 PC에 대한 피해를 우려했다.

먼저 GoZeus 악성코드의 경우 주로 스팸 메일 등으로 전파된다. 감염 시 윈도우 XP의 경우(C:\Documents and Settings\[계정명]\Application Data\[랜덤6자리]\*****.exe) 경로에, 윈도우 7의 경우(C:\Users\[계정명]\AppData\[랜덤6자리]*****.exe) 형식으로 특정 악성코드를 생성해 임의의 포트를 오픈한 상태로 대기한다.

‘CryptoLocker’ 악성코드는 감염된 PC에 저장돼 있는 문서파일을 암호화시킨 후 사용자에게 금액을 지불할 것을 이용자에게 요구한다. 특히 지불방식은 추적이 불가능한 비트코인 또는 MoneyPack 등을 이용하며, 해당 악성코드에 감염된 경우 복구가 절대로 불가능하므로 사전 예방이 중요하다.

이에 영향을 받는 시스템으로는 Microsoft Windows 95·98·Me·2000·XP·Vista·7·8과 Microsoft Server 2003·2008·2008 R2·2012 등이 있다.

취약한 시스템을 사용하고 있는 서버의 관리자들은 △P2P 등 의심스러운 사이트로부터 실행파일 다운로드 및 실행 자제 △출처가 불분명한 이메일 첨부파일 클릭 금지 △윈도우 및 백신 프로그램 등의 최신 보안업데이트 적용 △인터넷 뱅킹 이용 시 정상 사이트 여부 확인 등을 통해 향후 이와 유사한 형태의 변종 악성코드에 주의해야 한다.

또 허용되지 않는 포트가 열려 있는지(윈도우 키→실행→cmd.exe→netstat -an) 수시로 확인해야 한다.

이들 악성코드와 관련 한국인터넷진흥원(KISA) 관계자는 국내에서도 12여건의 악성코드 감염사례가 발견됐다며, 현재 백신 업데이트를 통해 치료가 모두 완료됐으나, 유사 변종이 발생하고 있으므로 주의해야 한다고 밝혔다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>