침해사고/위협동향

윈도 파워쉘 이용한 악성코드 유포 증가…랜섬웨어 등 감염 주의

디지털데일리 발행일 2016-02-23 13:30:07
이유지

[디지털데일리 이유지기자] 하우리(대표 김희천)는 최근 국내에 파워쉘(Powershell)을 이용한 악성코드 유포가 지속적으로 증가하고 있어 인터넷 이용자들의 각별한 주의가 요구된다고 23일 밝혔다.

파워쉘(Powershell)은 윈도7 이상 버전에 기본 탑재돼 있는 쉘 프로그램이다. 일반적인 쉘 프로그램과 다른 점은 닷넷(.NET) 계열의 스크립트를 실행시킬 수 있다. 강력한 기능을 갖고 있어 시스템 관리자가 유용하게 사용할 수 있다.

이러한 기능 때문에 익스플로잇 킷과 결합해 악성코드를 다운로드 및 실행하는 방법으로, 간단한 스크립트 명령을 이용한 파워쉘이 이용되고 있다. 파워쉘을 이용한 악성코드 유포 기법은 국내에 작년 5월 처음 등장해 최근까지 크게 증가하고 있는 추세이다.

국내에 파워쉘을 이용해 감염되고 있는 악성코드의 상당수는 랜섬웨어이다. 랜섬웨어에 감염됐을 경우 많은 종류의 문서파일을 암호화하고 금전을 요구하며, 암호화된 문서파일은 금전을 지불하지 않으면 일반적인 방법으로는 복구하기 어렵다.

최상명 하우리 CERT실장은 “강력한 파워쉘의 기능 덕분에 기존의 단순 다운로드 쉘코드를 대체한 악성코드 다운로드 공격이 계속 증가하고 있다”며, “파워쉘이 꼭 필요한 경우가 아닌 경우, 파워쉘 실행을 통제해 악성코드 감염 피해를 최소화 할 수 있다”고 말했다.

하우리는 파워쉘을 이용해 유포되는 악성코드를 관제 시스템에서 조기에 탐지, 자동으로 ‘바이로봇’ 백신에 패턴으로 등록해 진단·치료하고 있다. 또한 취약점 공격 사전차단 솔루션인 ‘바이로봇 에이피티(APT) 쉴드’에서도 사전차단한다.

<이유지 기자>yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스