침해사고/위협동향

[딜라이트닷넷] ‘홈영화족’ 노리는 악성코드 활개

홍하나

[IT전문 미디어블로그=딜라이트닷넷]

작년과 비교했을 때 올해는 춥지 않은 겨울이라고 한다. 그럼에도 미세먼지와 차가운 바람을 이겨내고 영화관까지 가고 싶지 않은 사람들은 집에서 영화 보는 것을 택한다.

최근 영화관이 아닌 집에서 영화를 보는 ‘홈(Home)영화족’이 증가하고 있다. 인터넷으로 영화를 다운받아 보거나 스트리밍 서비스, 인터넷TV(IPTV)를 이용한다.

최근 보안기업 안랩에 따르면, 홈영화족을 겨냥한 공격이 이어지고 있다. 영화파일로 위장한 악성코드와 스트리밍의 성인 인증 페이지로 위장해 사용자들의 PC와 스마트폰을 노린다는 것. 예전에도 영화 다운로드를 가장한 악성코드가 많았으나 최근에 다시 활개를 치고 있다.

최근 발견된 악성코드는 영화 파일로 위장했다. 이 악성파일은 바로가기 파일(LNK) 형식으로 제작됐다. 개인간개인(P2P) 파일 공유 프로그램 토렌트를 통해 유포된 것으로 나타났다.

영화 파일로 위장한 이 악성 LNK 파일은 겉보기에는 정상 동영상 파일과 유사하다. 하지만 자세히보면 다른 점을 찾을 수 있다. 아이콘 아래쪽에 화살표 모양이 추가됐다. 이 LNK 파일은 연결된 다른 파일을 실행하는 역할을 수행한다.

안랩의 시큐리티대응센터(ASEC)는 “영화 파일로 위장한 악성 LNK 파일은 파워셸을 실행하고 추가 악성 프로그램을 다운로드한다”며 “이렇게 실행된 파워셸 코드가 악성 행위를 담당하는 여러 모듈을 다운로드하고 실행한다”고 설명했다.

이렇게 악성 LNK 파일이 최종적으로 다운로드한 파일을 암호화폐 정보를 탈취하는 악성코드다.

홈영화족을 노리는 악성코드는 영화 스트리밍 사이트의 인증페이지로도 위장했다. 이 악성코드는 사용자 시스템의 취약점을 노린 익스플로잇킷을 사용했다.

하지만 마찬가지로 자세히 살펴보면 허점이 보인다. 아래쪽에 악성 스크립트가 삽입되어 있다. 이 웹페이지에 접속한 사용자 시스템에서 응용 프로그램 사용 여부와 설치된 버전을 확인해 취약점이 있는 버전일 경우, 이에 맞는 취약점 코드를 실행하는 방식이다. 또 이 악성코드는 특정 값을 변경해 사용자 몰래 시스템에 악성 프로그램을 설치하거나 시스템 설정을 변경할 수 있다.

ASEC는 “해당 악성코드는 2014년에 국내 사용자를 대상으로 금융 정보를 탈취하는 파밍 악성코드를 유포하는데 많이 사용됐던 공격 도구를 통해 유포되고 있다”며 “CK VIP는 공격 성공률을 높이기 위해 새로운 취약점 정보가 계속 추가되고 있기 때문에 사용자들의 주의가 더욱 요구된다”고 당부했다.

무엇보다도 홈영화족을 노리는 악성코드를 피하기 위해서는 정식 플랫폼, 서비스의 콘텐츠를 이용해야 한다. 또 파일 공유사이트에서 검증되지 않은 파일이나 다운로드 URL에 대해 경각심을 가지고 주의해야 한다.

[홍하나 기자 블로그]

홍하나
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널