뉴스 > 사회

“4주 동안 상주하며 PC 계정 정보 탈탈 털어가는 악성코드 퍼지는 중”

등록 2018-03-16 15:40:29 | 수정 2018-03-16 17:48:17

하우리, “가상화폐 거래소 등 웹사이트 접속할 때 악성코드 조심해야”

자료사진, 국내 가상화폐 거래소의 접속 계정 정보를 탈취 악성코드가 남긴 로그. (하우리 제공)
웹사이트를 접속할 때 입력하는 계정 정보를 빼내는 악성코드가 기승을 부리고 있다. 보안전문기업 하우리는 16일 언론에 배포한 보도자료에서 이 같은 위험을 경고하며 국내 사용자들의 주의를 당부했다.

하우리는 자사 인텔리전스 위협 탐지 시스템이 문제의 악성코드를 국내에서 발견했다고 밝혔다. 이 악성코드는 현재 국내에서 확산하는 ‘헤르메스’ 랜섬웨어와 함께 퍼지는 중이다. 최신 플래시 취약점 등을 이용해 ‘선다운’ 익스플로잇 킷을 통해 확산하고 있다. 이런 저런 사이트를 돌며 웹 서핑을 하는 중 은밀하게 컴퓨터로 침입하기 때문에 사용자들도 악성코드 감염 사실을 알기 어렵다.

웹을 거쳐 컴퓨터로 들어온 이 악성코드는 ‘윈도우 탐색기’에 특정 코드를 넘어 동작하도록 만든다. 이후 컴퓨터 안에 있는 각종 정보를 수집해 특정한 서버로 전송한다. 이 악성코드는 가상머신을 탐지하기 때문에 악성코드 분석 시스템이나 악성코드 분석가의 컴퓨터에서는 동작을 하지 않는 것으로 알려졌다.

악성코드는 컴퓨터에 상주하면서 4가지 웹 브라우저 익스플로러·크롬·파이어폭스·오페라의 입력 데이터를 가로챈다. 웹 사이트에 접속하는 계정 정보를 식별해 로그로 남기고 빼내는 것이다. ‘HTTPS 보안 프로토콜’로 통신하는 웹사이트도 악성코드에서 자유롭지 않다. 웹 브라우저에 입력하는 원시 데이터를 가로채기 때문에 계정정보를 빼내간다.

하우리는 “이 악성코드는 랜섬웨어를 유포하는 조직이 함께 유포하는 것이다. 돈을 노리는 것으로 보인다”며, “가상화폐 거래소 등 다양한 웹사이트의 계정 정보를 털기 때문에 2차 피해가 발생할 수 있다”고 밝혔다.



이슬 기자 dew@newshankuk.com