안랩 "`보안프로그램 설치` 위장 악성코드 주의하세요"

[이데일리 이후섭 기자] 안랩(053800)은 최근 유명 포털사이트의 `보안 프로그램 다운로드` 고객 안내 페이지를 위장해 악성코드를 유포하는 사례를 발견해 사용자의 주의를 당부한다고 18일 밝혔다.

보안 프로그램 다운로드 고객 안내 페이지를 가장한 피싱 페이지는 사용자가 해당 피싱 페이지에 접속할 때 접속기기 환경에 맞는 웹 페이지가 나타나도록 교묘하게 제작됐다. 이와 함께 보안 프로그램 설치파일을 위장한 악성코드도 접속 기기에 따라 PC에서 다운로드시 압축파일(.zip)을, 스마트폰에서 다운로드시 앱 설치파일(.apk)을 내려 받도록 설계됐다.

PC에서 사용자가 속아 압축파일을 내려 받아 압축을 해제하고 실행하면 악성코드에 감염된다. 이와 동시에 사용자 화면에는 `보안 프로그램이 성공적으로 설치되었습니다`는 대화상자가 나타나기에 사용자가 악성코드 감염을 인지하기 어렵다. 감염 이후 악성코드는 사용자 PC의 IP, 윈도 운영체제 버전 정보, 드라이브 정보 등을 C&C서버(공격자가 악성코드를 원격 조종하기 위해 사용하는 서버)로 전송한다. 또 추가 악성코드를 사용자 PC로 다운로드해 악성 행위를 지속 수행한다.

스마트폰에서도 앱 설치파일을 실행하면 악성앱이 설치되며 해당 악성 앱은 사용자 몰래 단말기 전화번호, 고유번호(IMEI) 등 개인정보를 수집해 C&C 서버로 전송한다.

안랩은 이와 같은 피해를 예방하기 위해서는 △출처가 불분명한 메일내 URL 및 첨부파일 실행금지 △보안이 확실하지 않은 웹사이트 방문 자제 △운영체제(OS) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등) 등 프로그램의 최신 버전 유지 및 보안 패치 적용 △V3 등 백신 프로그램 최신버전 유지 및 실시간 검사 실행 등을 실행해야 한다고 조언했다. PC용 및 스마트폰용 V3는 해당 악성코드를 모두 진단 중이며, 피싱 페이지 URL 주소도 차단하고 있다.

박태환 안랩 ASEC대응팀장은 “포털 사이트와 같이 신뢰할 수 있는 사이트를 사칭하는 수법은 지속적으로 등장하고 있다”며 “최근 PC 뿐만 아니라 모바일 환경도 타깃으로 한 피싱 페이지가 제작되는 만큼 출처가 불분명한 URL과 파일은 실행하지 않는 등의 각별한 주의가 필요하다”고 경계했다.