‘김정일 사망’ 소식, 알고보니 악성코드

가 +
가 -

안철수연구소는 12월20일, 자사 공식 블로그를 통해 김정일 북한 국방위원장 사망 관련 소식으로 위장한 악성코드가 인터넷으로 유포되고 있다며 사용자들에게 주의를 당부했다.

오사마 빈라덴, 마이클 잭슨, 스티브 잡스 사망 등 전세계적으로 이슈가 되는 유명 인사들의 소식을 이용해 악성코드가 유포되는 사례는 이전부터 있었다. 신뢰할 수 있는 사람으로 가장해 다른 사람들로 하여금 자신의 목적을 위해 행동하도록 만드는 ‘사회공학기법’은 악성코드 유포에 가장 흔하게 사용되는 수단이다. 김정일 국방위원장 사망 사건 역시 악성코드 유포자라면 놓칠 수 없는 이슈다.

이번에 김정일 국방위원장 사망 관련 소식으로 위장한 악성코드들의 위험 수준은 그리 높지 않다. 그럼에도 불구하고 주의가 요구되는 이유는 전파 속도가 빠르기 때문이다. 박태환 안철수연구소 시큐리티대응센터(ASEC) 대응팀장은 “김정일 국방위원장 사망과 관련해 등장한 악성코드들의 경우 심각한 피해를 유발하지는 않지만, 사람들이 쉽게 접할 수 있는 환경이 마련된다는데 문제가 있다”라고 말했다.

사람들은 굉장히 유명한 사회적 이슈에 대해 관심과 호기심을 갖기 마련이다. 악성코드 유포자들을 이같은 사용자들의 단순 클릭 행위를 악용해 개인정보를 가로채거나, 국가산업기반망을 무너뜨리는 공격을 감행할 수 있다.

박태환 대응팀장은 “유명인사가 죽거나 국가적으로 큰 행사가 있을 때 이를 이용한 악성코드의 등장 빈도가 평상시보다 2배 이상”이라고 말했다. 그리고 이렇게 악성코드를 통해 수집된 정보들은 러시아, 중국 등을 통해 돈만 있으면 손쉽게 거래된다고 한다.

악성코드 자체도 문제지만 사회적 이슈와 결합돼 배포가 빨리 이뤄지기 때문에 더 큰 주의가 필요하다.

이번에 김정일 위원장 사망 관련 발견된 악성 코드는 대략 6~7종류다. 그 중 현재 활발히 유통되고 있는 악성코드는 다음과 같다. 김정일 위원장의 사망 관련 동영상을 보여주는 것처럼 위장해 PC에 악성 소프트웨어를 몰래 설치하는 불법 광고 프로그램과 김정일 사망관련 소식을 전하는 e메일 뉴스로 위장해 사용자의 PC를 좀비로 만드는 화면보호기 파일 등이다.

불법 광고 프로그램은 유튜브 동영상으로 위장해 단축 인터넷주소(URL)을 클릭하면 김정일 국방위원장 사망 관련 소식을 볼 수 있는 것처럼 유도한다. 사용자가 동영상을 보려고 해당 URL을 클릭하면 동영상을 시청하기 위한 ‘Setup.exe’ 파일을 설치할 것을 권유한다. 멋모르고 프로그램을 설치하면 사용자의 인터넷 익스플로러에 광고용 툴바가 생기면서 악성코드가 설치된다. 이렇게 설치된 악성코드는 익스플로러의 시작 페이지를 특정 웹사이트로 변경하고 사용자가 입력하는 검색 키워드들을 가로채 특정 시스템으로 전송한다.

e메일은 해당 메일에 첨부된 ‘Brief introduction of Kim Jong-il.pdf’를 실행하면 김정일 위원장의 사망 관련 기사를 읽을 수 있는 것처럼 유도한다. 사용자가 PDF 파일을 실행시키면 실제로 김정일 위원장의 사진과 함께 그의 일생을 담고 있는 내용을 볼 수 있다. 하지만 PDF 파일이 실행됨과 동시에 사용자가 모르는 화면보호기 작동에 사용되는 ‘abc.scr’이 설치된다.

설치된 화면보호기 파일은 시스템 사용자 모르게 다른 파일인 ‘GoogleUpdate.exe’을 감염시킨다. 이렇게 생성된 악성코드는 시스템의 인터넷 접속 여부를 확인하기 위해 구글 웹 사이트로 접속을 반복적으로 수행한다. 그 다음 역접속을 통해 실행 중 프로세스 확인‧강제종료, CMD 셀 명령 수행, 파일 업‧다운로드‧삭제 등 악성코드 유포자가 지정한 명령들을 실행한다.