VOOVO SYSTEMS

占쌉삼옙占쏙옙占쏙옙

제목 때린 데 또 때리는(?) 파밍 악성코드

현재 가장 심각한 보안 위협은 단연 랜섬웨어다. 그러나 랜섬웨어 강풍이 파도를 일으키는 동안 수면 밑에서 유유히 흐르는 수많은 악성코드 또한 잊어서는 안 된다. 특히 최근 이전에 사용했던 경로를 이용해 다시 유포된 파밍 악성코드가 확인돼 사용자들의 주의가 요구된다. 

 

 

최근 발견된 파밍 악성코드는 대표적인 악성코드 유포 경로라 할 수 있는 불필요한 프로그램(Potentially Unwanted Program, PUP)을 이용해 사용자 PC에 숨어들었다. 특히 이번 파밍 악성코드는 지난 2014년 9월에 악용했던 PUP를 다시 이용하여 유포되었다는 점을 눈여겨볼 필요가 있다. 

 

해당 악성코드는 두 가지 방식을 이용해 PUP와 함께 사용자 PC에 설치되는데, 첫 번째 방법은 응용 프로그램에 포함된 제휴 프로그램(스폰서 프로그램) 형태로 설치되는 방식이다. [그림 1]과 같이 사용자가 응용프로그램을 설치할 때, 설치 구성 요소에 포함된 제휴 프로그램 형태로 PUP가 설치되는데, 문제는 공격자가 이 PUP의 업데이트 모듈을 변조해 파밍 악성코드를 삽입해두었다는 점이다. 

 

  

[그림 1] 응용프로그램 설치 과정에 포함된 제휴 프로그램

 

이 PUP는 지난 2014년 9월에도 악성코드 유포에 이용된 적이 있는 것으로 확인되었다.

 

변조된 PUP를 사용자 PC에 설치하는 또 다른 방식은 인터넷 익스플로러(Internet Explorer, 이하 IE)의 액티브 X(ActiveX)를 이용했다. [그림 2]와 같이 사용자가 IE를 이용해 특정 웹 사이트에 접속하면 액티브 X 설치를 유도하여 PUP를 설치한다. 

 

 [그림 2] 액티브X를 이용한 PUP 설치 

 

이렇게 액티브X 형태로 설치된 PUP에 파밍 악성코드가 포함되어 있었던 것으로, 해당 PUP는 지난 2016년 10월에 악성코드 유포에 이용된 바 있는 PUP와 유사한 것으로 확인됐다. 

 

이처럼 이미 악성코드 유포에 이용됐던 PUP가 또다시 공격 경로로 이용된 이유는 무엇일까? 우선, 대부분의 PUP는 다수의 사용자에게 광고를 노출하기 위한 목적으로 제작되기 때문에 보통 사용자들이 인지하지 못한 상태에서 설치되는 방식을 취한다. 문제는 광고 수익 증대를 위해 PUP 배포에만 관심을 두기 때문에 배포된 후에는 취약점 관리 등 보안 관리가 되지 않는 경우가 대부분이다.  따라서 공격자의 입장에서는 변조를 시도하기 쉽고, 특히 보안 침해를 당한 이후에도 관리되지 않는 경우가 많다는 점에서 한 번 이용했던 PUP를 그대로 다시 악용하는 것이다. 

 

또 여전히 많은 사용자들이 응용프로그램 설치 시 설치 구성 요소에 관심을 갖지 않아 PUP가 설치되기 쉽다는 점도 공격자에게 PUP가 매력적인 이유다. 따라서 파밍 등 악성코드 감염을 예방하기 위해서는 프로그램 설치 시 제휴 프로그램이나 스폰서 프로그램이 설치 구성 요소로 선택되어 있는지 확인하는 습관이 필요하다. 또한 윈도우 및 주요 응용프로그램에 최신 보안 업데이트를 적용하는 것이 바람직하다. 현재 전 세계적으로 이슈가 되고 있는 워너크립터(일명 워너크라이) 랜섬웨어 또한 보안 업데이트를 적용하지 않은 PC 들에 피해를 입혔다는 점을 명심하자.


- 출처 : 안랩(2017.05.17)