코덱 프로그램 설치 사이트로 위장해 트로이목마 유포

지난 4월 22일경, 외국의 특정 사이트에서 미디어 플레이어 화면을 보여주고는, 재생을 위해 코덱 프로그램을 설치하도록 유도하여 트로이목마를 심는 새로운 해킹 수법이 발견되었다.

정보보안업체 잉카인터넷(대표 주영흠 www.inca.co.kr / www.nprotect.com) 시큐리티대응센터 관계자는 “Codec 프로그램으로 위장된 기존의 트로이목마들은 대체로 Codec 배포 사이트처럼 위장된 화면 등을 이용하였지만, 이번에 발견된 것은 미디어 플레이어 화면을 이용하여 사용자가 착각하기 쉽도록 제작되어 사용자들의 각별한 주의가 필요하다”고 밝혔다.

정상적인 재생화면처럼 위장된 이 화면은 사용자가 동영상 재생을 위해서 특정 링크를 클릭하고 Codec.exe 파일을 스스로 설치하도록 유도하고 있다.

UCC(User Created Content) 동영상이 전 세계적으로 인기를 얻으면서 이와 같은 사례들이 조금씩 증가하고 있고, 사회공학적 기법의 하나로 자리를 잡고 있다. 아래 화면은 실제 외국 사이트에서 사용되었던 화면 중 일부이다. 동영상 프로그램 설치를 유도하는 재생화면이다.

Click here부분을 클릭하여 codec.exe 파일을 설치하면 프로그램 파일 하위폴더에 explorer라는 이름의 새로운 폴더를 생성하고 내부에 인터넷 익스플로러를 위장한 프로그램을 숨김 형태로 설치한다. 아래 그림은 숨김 속성으로 설치된 악성프로그램이다.

이 프로그램은 사용자의 키보드 입력내용을 저장하는 키로그 프로그램으로 klog.dat 파일에 키보드입력 내용이 암호화 되어 저장되고, 이로 인하여 사용자의 중요 개인정보가 외부로 유출되어 악용될 수 있는 위험이 존재하며, 특히 가짜 iexplorer.exe는 Rootkit(Hidden Item) 형태로 실행되기 때문에 일반 사용자는 실행 중인 것 자체를 확인하기가 어렵게 된다.

최근 우리나라의 경우도 UCC 동영상을 이용해서 위장된 프로그램 설치를 시도하는 경우가 종종 발견되고 있는데 대부분 신뢰할 수 없는 보안 프로그램(Rogue Ware)이나 광고 목적의 툴바 또는 애드웨어 프로그램 등이 자신을 배포하기 위해서 사용하고 있다. 아래 그림은 동영상 재생용으로 위장된 Rogue 프로그램이다.

국내의 경우는 동영상 재생을 위해서 액티브X 컨트롤을 설치하도록 유도하는 형태가 가장 많은데, 이러한 경우 증명되지 않은 프로그램들이 사용자 몰래 설치되는 경우가 많아 사용자들의 세심한 주의가 요구된다. 아래는 프로그램 설치 화면이다.

설치된 프로그램은 사용자에게 신뢰할 수 없는 악성코드 진단화면을 보여주고, 치료를 위하여 유료결재 요구화면 등을 수시로 보여주게 된다. 이때 일부 사용자들의 경우는 가짜 치료기능에 의한 유료결재 피해를 보게 되는 경우도 있으며, 컴퓨터 사용의 방해(컴퓨터 속도 저하)와 함께 각종 오류 현상 등이 생겨나는 부작용의 피해를 입게 된다.

이러한 피해를 예방하기 위해서는 무엇보다 사용자 스스로의 관심이 중요하다.

잉카인터넷 시큐리티대응센터 관계자는 “동영상을 재생하기 위하여 추가로 코덱 등을 설치하라는 안내문이 나타날 경우는 검증된 프로그램인지 인터넷 검색 등을 통하여 확인해 보는 것도 하나의 방법이다. 더불어 사용자 컴퓨터에 최신 보안 프로그램 설치는 물론 운영체제의 취약점을 제거할 수 있도록 배포되는 서비스 팩과 보안 업데이트(패치)를 최신으로 유지하는 것이 무엇보다 중요하다”고 밝혔다.

UCC속에 악성코드 등을 숨겨 유포하거나 숙주PC로 악용하는 경우가 점차 늘고 있다. UCC가 향후 대세인 만큼 개인들은 UCC 사이트 접속시 PC의 보안성을 최대한 높여야 한다.

이를 위해서는 백신을 실시간으로 운영해야 하며 각종 보안패치를 신속하게 업데이트해야 한다. 그리고 음란물이나 신뢰할 수 없는 사이트에는 접속을 하지 않는 것이 예방을 위해 필요하다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>