안랩, 3.20 전용백신 위장 악성코드 주의 당부

- KISA 보호나라 전용백신 안내 메일로 위장해 악성코드 첨부

- 3.20 이후 사용자의 불안 심리 이용해 메일로 전파

- 이메일 수신 시 발신처 확인 및 첨부 파일 실행 주의해야

뉴스 제공

안랩 코스닥 053800

2013-04-09 13:44

서울--(뉴스와이어)--글로벌 보안 기업인 안랩(대표 김홍선, www.ahnlab.com)은 최근 ‘3.20 전산망 장애 전용백신’으로 위장한 악성코드가 발견되었다고 발표했다. 안랩은 이를 8일 발견해 V3를 긴급 엔진 업데이트하고 (진단명: Dropper/Backdoor(2013.04.08.05) 사용자의 주의를 당부했다.

이번 악성코드는 한국인터넷진흥원(KISA)에서 배포하는 전용백신 안내 메일로 위장하여 유포되었다(그림참고). 3.20 악성코드에 감염되지 않았을까 불안해하는 사용자의 심리를 자극해 첨부 파일을 다운로드하거나 메일을 계속 회송하게 함으로써 APT(Advanced Persistent Threat; 지능형 지속 공격)를 시도한 것으로 파악된다.

공격자는 chol.com의 메일 계정을 사용해 chol.com 메일 계정을 가진 특정인에게 이메일을 보낸다. 메일 제목은 ‘3.20 전산대란 악성코드 검사/치료용 보호나라(KISA) 백신에 관련’이며, 본문은 ‘3.20 전산대란을 일으켰던 악성코드가 심겨져 있는지 검사/치료할 수 있는 전용백신에 관련 KISA 안내입니다.’로 시작된다. 본문 말미에는 ‘인터넷 진흥원 홍보실’로 메일 작성자를 가장했다.

메일에 첨부된 “다운로드 및 사용방벙 안내.alz”는 “다운로드 및 사용방벙 안내.chm”이란 도움말 파일을 포함하고 있다. 이 때문에 마치 전용백신을 사용하는 데 필요한 파일로 오해할 수 있다. 그러나 해당 도움말 파일을 실행하면 화면에는 전용백신 도움말이 나타나지만 백그라운드에서는 악성코드가 생성 및 실행된다.

이후 국내에 위치한 C&C 서버와 통신을 한 후 추가로 악의적인 행위를 하는 것으로 추정된다. 그러나 분석 당시 이 C&C 서버가 정상 동작하지 않는 상태여서 어떤 악의적 행위를 하는지는 확인되지 않았다.

현재 KISA는 ‘보호나라(www.boho.or.kr)’ 사이트를 통해 이 같은 사실을 알리고 사용자 주의를 촉구하고 있다. C&C 서버를 접속 차단하고 웹사이트에 주의사항을 공지하는 등 긴급 조치를 한 상태이다. 또한 KISA는 전용백신 안내 메일을 별도로 발송하지 않으며, 이메일 계정도 chol.com이 아니라 kisa.or.kr이다. 따라서 이 점을 눈여겨 보면 피해를 당하지 않을 수 있다.

안랩 시큐리티대응센터의 이호웅 센터장은 “사회적으로 주목 받는 이슈는 항상 악성코드에 악용되어 왔다. 사용자는 이메일을 받았을 때 해당 기관에서 발송한 것이 맞는지 확인해보고 첨부 파일을 함부로 실행하지 않는 등 주의가 필요하다.”라고 강조했다.

안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.

웹사이트: http://www.ahnlab.com