[김국배기자] 안랩(대표 김홍선)은 9일 최근 발생한 3·20 전산망 장애 관련 전용백신을 위장한 악성코드가 발견됐다며 이용자 주의를 당부했다.
이번 악성코드는 한국인터넷진흥원(KISA)에서 배포하는 전용백신 안내 메일로 위장해 유포되고 있다.
안랩은 "3·20 관련 악성코드 감염에 대한 사용자들의 불안 심리를 자극해 첨부 파일을 다운로드 하거나 메일을 계속 회송하게 함으로써 지능형 지속(APT) 공격을 시도한 것으로 파악된다"고 밝혔다.
공격자는 chol.com의 메일 계정을 사용해 같은 메일 계정을 가진 특정인에게 이메일을 보낸다. 메일 제목은 '3.20 전산대란 악성코드 검사/치료용 보호나라(KISA) 백신에 관련'이며 본문은 '3.20 전산대란을 일으켰던 악성코드가 심겨져 있는지 검사/치료할 수 있는 전용백신에 관련 KISA 안내입니다'로 시작된다. 본문 말미에는 인터넷 진흥원 홍보실로 메일 작성자를 가장했다.
메일에 첨부된 '다운로드 및 사용방벙 안내.alz'는 '다운로드 및 사용방벙 안내.chm'란 오타가 있는 도움말 파일을 포함하고 있다. 해당 도움말 파일을 실행하면 화면에는 전용백신 도움말이 나타나지만 백그라운드에서는 악성코드가 생성 및 실행된다.
안랩 측에 따르면 공격자들이 악성코드로 어떤 추가적인 행위를 하는지는 확인되지 않은 상황이다.현재 KISA는 보호나라(www.boho.or.kr) 사이트를 통해 이같은 사실을 알리고 사용자 주의를 촉구하며 C&C 서버 접속을 차단하고 웹사이트에 주의사항을 공지하는 등 긴급 조치를 한 상태다.
안랩 시큐리티대응센터의 이호웅 센터장은 "사회적으로 주목 받는 이슈는 항상 악성코드에 악용돼 왔다"며 "사용자는 이메일을 받았을 때 해당 기관에서 발송한 것이 맞는지 확인해보고 첨부 파일을 함부로 실행하지 않는 등 주의가 필요하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기