당신의 본능을 자극하는 악성코드

2011.09.22

 

안녕하세요. 안랩인입니다. 얼마 전 아래 그림과 같은 메시지가 휴대전화 메신저를 통해 확산된 적이 있었습니다. 안철수연구소장을 사칭한 바이러스 경보 메시지는 사실 안철수연구소와 아무 관련이 없었습니다.

 

일명 혹스(hoax)라고 불리며 이메일이나 인터넷 메신저, 문자메시지 등에 거짓 정보나 괴담 등을 실어 사용자를 속이는 수법입니다. 3~4년 전부터 안철수연구소 이름으로 이런 혹스가 돌고 있습니다.

 

비단 안철수연구소 뿐만 아니라 유명인을 사칭하여 악성코드를 유포하는 수법들은 늘 존재해 왔습니다. 특히 사람들의 관심이 쏠린 전 세계적인 이슈를 이용한 보안 위협이 꾸준히 발생했습니다.

호기심을 악용한 악성코드

 

2009년 마이클 잭슨의 사망 이후 ‘마이클 잭슨의 미공개 영상’으로 위장한 이메일이 네티즌들을 악성코드가 설치된 사이트로 유인했습니다. 마이클 잭슨의 사망 관련 동영상을 유튜브에서 볼 수 있다며 가짜 웹 사이트로 끌어들인 것입니다. 이를 누를 경우 ‘Michael.Jackson.videos.scr’이라는 파일을 내려받게 되는데, 이것은 온라인 뱅킹 정보를 유출하는 ‘Banker’ 트로이목마의 변형이었습니다.

 

김연아 선수 동영상으로 위장한 악성코드는 2월 24일 동계 올림픽 금메달을 획득한 직후 발견됐습니다. 구글 검색 시 상위에 나온 동영상 파일 중 하나를 클릭하면 특정 웹사이트로 이동하며 ‘컴퓨터가 악성코드에 취약합니다. 시스템을 검사하려면 OK 버튼을 누르라’라는 창이 뜹니다. 여기서 ‘확인’을 클릭하면 가짜백신인 Windows Security Alert가 정상 파일을 악성코드라고 진단하며 비용 결제를 요구합니다.

 

이외에도 올해 일본 대지진, 빈 라덴 사망 소식 등 굵직한 뉴스가 나올 때마다 네티즌의 호기심을 악용한 악성코드 유포 시도가 어김없이 발생했습니다.

사회공학적 위협 기법

 

이런 보안 위협들을 사회공학적 기법이라 부릅니다. 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격 기법입니다. 전 세계적으로 많은 관심을 모으는 사건, 사고 관련 정보로 위장해 사용자들을 유인하는 경우가 많습니다. 인터넷의 발달로 이메일, 인터넷 메신저, 트위터 등 접근 채널이 다각화됨에 따라 사회공학적 기법을 활용한 악성코드 유포 통로 또한 많아졌습니다. 악성코드를 이용해 허위 백신을 설치하게 하고 개인정보를 유출하는 등의 부작용이 많아 그 문제점이 심각하다고 할 수 있습니다.

 

이런 사회공학적 보안 위협들은 향후에도 지속적으로 나타날 것으로 보입니다. 트위터, 페이스북과 같은 SNS를 이용할 때 확인할 수 없는 단축 URL의 클릭을 주의해야 합니다. 아울러 윈도우 운영체제(OS) 및 인터넷 익스플로러, 오피스 제품의 보안 패치를 설치하고 보안 소프트웨어 업데이트를 정기적으로 실시해야 합니다.

 

사회공학 기법을 이용한 악성코드의 감염을 예방하기 위해서는 다음의 사항들을 숙지할 필요가 있습니다. Ahn

* 더 자세한 사항은 안랩 홈페이지를 참고해주세요.