김모 씨는 최근 새로 주문한 블루레이 디스크를 관람하기 위해 인터넷에서 동영상 플레이어인 ‘KM플레이어’를 내려받았다. 김 씨는 내려받은 파일을 실행시켰지만 정상적으로 설치가 되지 않았고, 오히려 이상한 프로그램만 설치됐다. 이후 김 씨의 PC는 과거와 달리 현저하게 느려졌고, 결국 포맷을 해야하는 상황에 처하게 됐다.

블로그나 인터넷 커뮤니티 등에서 사용자들이 많이 사용하는 유틸리티 프로그램으로 가장해 악성코드를 유포하는 경우가 최근 급증하고 있어서 사용자들의 주의가 요구되고 있습니다.
 
이러한 악성코드 배포형태는 새로운 것은 아닙니다. 오래전부터 크래킹 된 프로그램, 불법 라이선스키 생성기, 해킹 툴 등에 악성코드를 심어 특정 사이트에서 배포하는 형태를 가지고 있었습니다. 특정영역에 관심이 있는 사용자들을 대상으로 한 일종의 타깃공격이었던 셈이죠.

그러나 상황이 달라졌습니다.

5일 알약에 따르면 지난 10월부터 이러한 크랙용 프로그램뿐만 아니라 사용자들이 많이 사용하는 유틸리티 프로그램에 악성코드를 넣고 리패키징해 블로그나 인터넷 커뮤니티 등에 올려 사용자들에게 유포하는 경우가 증가하고 있습니다.

PC를 사용하는 대부분의 사용자들은 인터넷 포털사이트를 통해 유틸리티 프로그램을 내려받습니다. 네이버, 다음과 같은 포털사이트가 직접 운영하는 자료실에서 내려받을 수 있고, 일부 블로그에는 해당 프로그램 사용법을 함께 게시하는 경우도 많기 때문입니다.

실제 알약, 알집, v3lite 등을 포털사이트에서 검색해보면 정식 배포처는 물론이고 블로그, 카페 등 다양한 출처에서 프로그램을 내려받을 수 있도록 돼 있습니다.

특히 업체에서 정식으로 출시되는 프로그램이 아닌 경우에는 상황이 더 심각합니다. 앞서 언급한 KM플레이어를 비롯해 오딘(odin), 꿀뷰 등 사용자들 사이에서 유명한 프로그램은 악성코드 배포의 근원이 되고 있습니다.

배포 형태는 이렇게 이뤄집니다.

1.정상 프로그램에 악성코드를 삽입해 블로그에 업로드
2.포털사이트 검색결과 상단에 노출될 수 있도록 블로그 내용을 검색 알고리즘에 맞춰 작성
3.또 블로그의 경우 ‘최신순’으로 노출될 수 있도록 5~10일 주기로 게시물 재작성

(검색 어뷰저들은 검색결과 상단에 노출될 수 있도록 블로그 포스팅에 동일한 내용을 지속적으로 기재하는 등의 행위를 합니다)

또 사용자PC에 감염된 악성코드는 다음과 같은 악성행위를 수행합니다.

1. 악성행위를 하는 파일을 드롭시키고 특정서버에 접속하여 해커가 의도하는 또 다른 파일을 다운로드한다.
2. 감염된 시스템의 정보를 특정 서버로 전송하고 해커의 명령을 대기하게 된다.
3. 특정 게임이 실행되는지 체크하여 해당 게임의 실행화면 및 게임 실행화면에 나타난 사용자 정보를 해커에게 전송한다.

김준섭 알약개발부문장은 “지금까지는 사용자들이 많이 사용하는 유명 프로그램을 리패키징 하거나 다운로더 프로그램을 통해서 스폰서 프로그램을 함께 설치하는 애드웨어 형태가 대다수였다”며 “지난달부터 단순히 스폰서 프로그램이 아닌 악성코드를 삽입한 후 리패키징하여 유포하는 케이스가 급증하고 있다”고 경고했습니다.

이어 “프로그램 설치 시 반드시 개발사·배포사의 공식 홈페이지나 신뢰할 수 있는 사이트에서 공식적으로 제공하는 자료를 이용하는 것이 안전하다”고 강조하네요.

댓글 쓰기