2015 상반기 악성코드 이슈 Top 5

2015년 상반기 보안 위협의 가장 큰 특징은 '기존 악성코드의 재조명'이라고 할 수 있다. 해외에서 주로 모습을 보이던 랜섬웨어가 국내에서도 피해 사례를 남기기 시작했으며, 그간 자취를 감췄던 매크로 악성코드는 20여 년 만에 다시 모습을 드러냈다.

 

‘다이어(Dyre)’ 악성코드는 전세계 인터넷 뱅킹 정보를 노리는 강력한 금융 보안 위기로 급부상했으며, 스팸메일을 이용한 '어파트레(Upatre)' 악성코드와 일반 사용자에게 생소한 화면보호기 확장자를 쓰는 악성코드로 인한 문제도 지속적으로 발생하고 있는 상황이다. 이들 보안 위협은 앞으로 더 진화한 모습으로 사용자에게 피해를 일으킬 수 있다는 점에서 올 하반기에도 눈여겨봐야 한다.

 

1. 랜섬웨어, 한국어 지원으로 국내 사용자 노려

 

올해 상반기 가장 큰 이슈가 된 악성코드는 단연 랜섬웨어(Ransomware)다. PC의 파일을 암호화한 뒤 사용자로부터 암호를 풀어주겠다는 조건으로 금전을 요구하는 랜섬웨어는 그간 해외에서 주로 문제가 돼 왔지만 올해 상반기 본격적으로 국내에서 발견되고 있다. 국내 기업 및 기관의 피해 사례도 발생한 상황이다. 주목할 부분은 한국어를 지원해 한국 사용자를 표적으로 했다는 점이다.

 

 

[그림 1] 한글로 제작된 랜섬웨어 ‘크립토락커’

 

지난 4월 이슈가 된 ‘크립토락커(CryptoLocker)'는 국내 유명 커뮤니티 웹사이트를 통해 유포됐다. 해당 사이트에 접속하면 보안이 취약한 사이트로 재전송해 특정 취약점에 의한 랜섬웨어 악성코드가 다운 및 실행된다. 랜섬웨어에 감염된 경우, 금전을 지불하더라도 대부분 파일을 정상화할 수 없으므로 사전 예방이 무엇보다 중요하다. 모바일 랜섬웨어까지 등장하고 있어 PC 및 휴대폰 사용자 모두의 주의가 요구된다.

 

2. 다이어(Dyre), 세계적인 금융 보안 위협으로 부상

 

인터넷 뱅킹을 노리는 악성코드는 여전히 맹위를 떨치고 있다. 그중 ‘다이어(Dyre)’는 올 하반기에도 주의 깊게 살펴봐야 할 것 같다. 지난해 등장한 ‘다이어’ 트로이 목마는 인터넷 뱅킹 정보를 탈취하는 악성코드다. 지난 4월 전세계 500여 개의 은행을 타킷으로 하던 것이 6월 말 그 대상을 1,000여 개의 은행과 기업으로 확대하는 등 강력한 금융 보안 위협으로 급부상했다. 국내 은행도 지난 봄부터 그 대상에 포함된 것으로 확인됐다.

‘다이어’ 악성코드는 인터넷 익스플로러, 크롬, 파이어폭스의 웹 브라우저를 통해 사용자가 은행 웹사이트에 접속하면 뱅킹 악성코드가 동작해 사용자 정보 및 뱅킹 정보를 탈취하고 키로깅 등의 악성 행위를 수행한다. 인터넷 뱅킹을 노리는 공격 기법은 갈수록 교묘해져 사용자가 인지하기 어려워지고 있다는 점에서 사용자와 기관의 각별한 주의가 필요하다.

 

3. 매크로 악성코드, 화려한 부활

 

지난 1995년 등장해 오피스 사용자들을 대상으로 널리 퍼졌다가 2000년 초 자취를 감췄던 매크로 악성코드가 다시 돌아왔다. 매크로 악성코드 탄생 20년이 된 2014년부터 조금씩 모습을 드러내더니 올해에는 매일 1~2개의 신종 매크로 악성코드가 발견되고 있는 상황이다.

일반적으로는 오피스에서 매크로 기능은 '사용하지 않음'으로 설정돼 있다. 그러나 요즘 등장한 매크로 악성코드는 사용자가 매크로 기능을 활성화하도록 유도한다. 가장 많이 사용히는 방법은 문서 내용을 알아보지 못하게 하고 매크로를 사용하면 내용을 볼 수 있다고 유도하는 식으로, 주로 엑셀 파일에서 볼 수 있다.

공격자는 매크로 악성코드를 이용해 다양한 다른 악성코드를 다운로드하거나 생성할 수 있다. 공격자의 최종 목표는 사용자 컴퓨터에 악성코드를 설치해 사용자의 정보를 유출하거나 금융정보를 탈취하는 것이다.

 

4. 어파트레(Upatre) 악성코드, 지속적인 증가

지난해 후반부터 올해 상반기까지 ‘어파트레(Upatre)’ 악성코드가 첨부된 스팸메일이 국내에서 지속적으로 대량 유포됐다. 스팸메일을 통해 메일 본문의 링크를 클릭하게 하거나 문서 파일 등으로 가장한 첨부 파일을 실행하도록 유도하는 형태다.

최근 안랩에 접수된 어파트레 악성코드의 변형은 ‘invoice’라는 메일 제목으로 유포됐다. 메일에 첨부된 파일을 실행하면 추가 악성코드를 다운로드하는 작업을 수행한다. 대부분 금융정보를 탈취하는 등의 악영향을 미치는 어파트레 악성코드는 해외에서 계속 증가세를 보이고 있으며 꾸준히 변형도 발견되고 있다.

 

 

[그림 2] 스팸 메일을 통해 유포된 어파트레 악성코드

 

5. 화면보호기(SCR)로 위장한 악성코드

 

화면보호기의 확장자인 SCR(Screensaver)을 악용한 악성코드도 있었다. 일반적으로 화면보호기는 일정 시간 동안 키보드나 마우스를 쓰지 않으면 PC 모니터에 여러 화면을 나타내는 소프트웨어인데, 이 악성코드는 일반 사용자에게 생소한 SCR 확장자를 악성코드 유포에 이용한 것이다.

해당 악성코드는 그림 모양의 아이콘을 갖고 있는데 그것을 실행하면 내부에 있던 광고나 문서 캡쳐 등 그림 파일이 실행되는 형태로 사용자 정보를 유출하는 역할을 한다. 이런 파일이 국가 주요 기관이나 기업에 전달되면 정보 유출의 위험이 있을 수 있는 만큼 지속적인 주의가 필요하다.

올 상반기에 주로 유포된 악성코드는 대부분 이전에 등장했던 악성코드들이다. 그러나 유포 방식과 동작 방식이 점점 더 지능화되고 있고, 올 하반기에도 지속적으로 유포될 것으로 전망된다. 이러한 악성코드로 인한 피해를 예방하려면 사용자가 평소 주의를 기울이는 것이 가장 중요하다. 평소 OS 및 소프트웨어의 보안 업데이트를 꼼꼼히 확인하고, V3 등 백신 제품을 항상 최신 버전으로 유지해야 한다. 또한 조금이라도 의심스러운 메일이나 출처가 불분명한 메일 및 URL에는 더욱 주의를 기울여야 한다. 또한 랜섬웨어에 의한 피해를 최소화하기 위해서는 중요한 파일들은 반드시 백업을 해두는 습관도 필요하다.

 

 

출처: AhnLab http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=23851&key=&dir_group_dist=&dir_code

콘텐츠기획팀 김수정