본문 바로가기
AhnLab News

2010.05.14 남아공 월드컵을 악용한 악성코드 주의

by 보안세상 2020. 3. 30.

 

최근 ‘ASEC(시큐리티대응센터) 리포트에서 발표한 최신 보안 이슈 동향에 따르면, 사용자의 재산과 금전을 노리는 악성코드 감염 4월 보고건수는 3월 악성코드 감염 보고건수 757만 여건에 비해 약 26% 증가한 1,030만 여건으로 나타났습니다. 또한, 월드컵 등을 앞두고 사회적으로 이슈가 되고 있는 사안을 이용해 다양한 악성코드 유포 시도가 증가할 것으로 예상되어 사용자들의 주의가 요망됩니다.

 

특히, 오는 6월 개최되는 2010 남아공 월드컵 관련 내용의 메일로 위장해 어도비 아크로벳 리더의 특정 이미지(TIFF) 파싱(Parsing, 구문분석) 관련 취약점을 악용하는 악성코드 유포 사례가 해외에서 보고 됐습니다. 악의적인 PDF 는 기존에 알려진 CVE-2010-0188 취약점을 악용합니다. 메일로 전송되었던 해당 악성코드는 취약한 어도비 아크로벳 리더에서 읽혀진 경우 TIFF 파일에 대한 잘못된 파싱과 이를 통하여 쉘코드(취약점을 이용해 특정 코드를 실행하게 할 때 사용되는 코드) 가 실행 되며, 이후 특정 폴더에 악성코드 파일을 생성하고 정보의 유출을 시도합니다. 최근에 연이은 PDF 보안 문제가 불거지고 있는 만큼 해당 응용 프로그램 사용자는 반드시 보안 업데이트를 해야 합니다.

 

또한, 안철수연구소를 비롯한 유명 보안업체에서는 올 한해 증가할 보안 위협으로, 인기검색어를악용하는 블랙햇 SEO(블랙햇 검색엔진 최적화, Blackhat Search Engine Optimization) 기법을 이용한 악성코드 유포 및 온라인 사기를 꼽고 있습니다. 사이버 범죄자들은 악성코드 유포지나 온라인 사기를 벌일 수 있는 웹 사이트를 제작한 후 검색 사이트에서 사용자가 히트율이 높은 단어나 주제에 대하여 검색했을 때 자신이 제작해둔 사이트를 상위로 노출시켜 악성코드를 유포하도록 하거나 온라인 신용카드 사기를 유도합니다. 주로 해외에서 자주 보고되었고 마이클잭슨, 김연아 동영상을 가장한 웹 사이트들이 블랙햇 SEO 기법을 통하여 알려진 사례가 있었다. 사용자들은 공식적이거나 신뢰할만한 웹 사이트를 방문하고, 안철수연구소의 무료 웹 보안서비스인 사이트가드(http://www.siteguard.co.kr/) 등을 이용해 안전한 웹 서핑을 하는 것도 도움이 됩니다.

 

이 외에도 얼마 전 국내에서 최초로 발견된 윈도우 모바일 계열 (5.0, 6.1, 6.5버전) 에서 임의로 특정 전화번호의 국제전화를 무단으로 발신하는 스마트폰 악성코드인 트레드다이얼(WinCE/TredDial.a, 일명 3D Antiterrorist) 이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸메일을 통한 악성코드 유포, ▲국내 포털 업체가 제공하는 BGM 플레이어와 CafeOn으로 위장한 키로거를 설치하는 액티브X, ▲끊임 없는 가짜 백신 등이 주요 이슈로 꼽혔습니다. 자세한 사항은 저희의  ASEC 리포트를 참고 하시면 되겠습니다.

 

안철수연구소 조시행 상무는 "최근 월드컵 등의 세계적인 행사를 앞두고 이를 이용하는 악성코드 유포 시도가 보고되었고 이러한 기법은 앞으로도 계속 증가할 것으로 예상된다. 또한, 일반적인 소프트웨어의 취약점을 노리는 악성코드와 결합하는 등 지능화되고 있으며 이외에도 가짜 백신, 사용자 모르게 정보를 탈취하는 트로이목마 등 다양한 보안 위협이 갈수록 증가할 것이다. 사용자는 신뢰할 수 있는 보안 수칙을 잘 지키는 것이 중요하다.”라고 강조했습니다. <Ahn>

 

<보충자료>

 Windows Mobile 계열에서 동작하는 악성코드 국내발견

국내에서 윈도우 모바일 계열 (5.0, 6.1, 6.5버전) 에서 동작하는 스마트폰 악성코드인 WinCE/TredDial.a (일명 3D Antiterrorist)가 발견, 보고 되었습니다. 해당 악성코드는 게임 어플리케이션에 포함 되어 발견 되었다. 해당 악성코드의 실행 후 증상은 임의로 특정 전화번호의 국제전화를 무단으로 발신 하도록 되어 있었습니다. 이 경우 사용자에게 원치 않는 통신비가 과금 되는 상황이 발생 됩니다.

 

 스팸 메일을 통한 악성코드 유포

최근 이메일 계정의 도메인 이름을 제목으로 하여 클릭을 유도하는 스팸메일이 유포되고 있습니다. 예를 들어 사용하는 이메일 계정이 AAA@ahnlab.com 이라면 메일 제목은 "ahnlab.com account notification" 으로 스팸 메일이 들어옵니다. 해당 메일에는 첨부파일이 포함되어 있거나 혹은 URL 링크가 포함되어 있습니다. 이러한 메일에 첨부된 파일이나 URL 링크를 통해 받는 파일은 악성코드이므로 실행하지 않도록 주의해야 합니다.

 

 ActiveX를 통해 전파되는 악성코드

최근 국내 포털 업체의 BGM 플레이어와 CafeOn으로 위장하여 키보드의 입력 값을 훔치는 키로거(Keylogger)를 설치하는 악성 ActiveX가 발견되었습니다. 이번에 발견된 악성코드의 특징은 기존 악성코드들과는 다르게 파일에 대한 디지털 서명까지 포함되어 있었다는 점입니다. 신뢰되지 않은 사이트에서 ActiveX 설치를 요구한다면 주의를 해야 합니다.

 

 끊임 없는 가짜 백신

최근 가짜 백신은 과거와 달리 보안 취약점, 다른 애드웨어의 번들 또는 업데이트 프로그램을 사용, 웹 하드와 같은 인터넷 서비스의 제휴 프로그램으로 설치하는 사례가 부쩍 늘어나고 있습니다. 이렇게 설치된 가짜 백신의 경우 사용자 컴퓨터를 정상적으로 사용할 수 없도록 파일의 실행을 차단하거나, 바탕화면을 변경시켜 사용자의 불안감을 조성하고 허위 또는 과장된 진단 결과를 지속적으로 노출시켜 사용자의 유료 결제를 유도합니다. 이러한 피해를 막기 위해서는 새로운 프로그램을 설치하거나 서비스를 사용할 경우 무조건 ""를 눌러 진행하지 말고 추가로 설치되는 프로그램이 있는지 잘 살펴 보아야 하며 해당 프로그램이나 서비스가 나에게 정말 필요한 것인가를 다시 한번 살펴보고 진행하는 것이 중요합니다.

 

* PC 보안 10계명

 

1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다. 

 

2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다. 

 

3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 무료백신 ‘V3 Lite(www.V3Lite.com)’나 유료 토털 PC 케어 서비스 ‘V3 365 클리닉’ 등을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.

 

4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트가드’(www.siteguard.co.kr) 서비스를 이용해 예방한다.

 

5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 ''를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.

 

6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.

 

7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.

 

8. P2P 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.

 

9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.

 

10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.