침해사고/위협동향

“윈도우 정품인증하려 했더니”··· 불법 인증 툴 위장한 악성파일 성행

이종현
[디지털데일리 이종현기자] 소프트웨어(SW)를 불법적으로 사용하는 이들을 대상으로 한 악성파일 유포 사례가 다수 발견됐다. 마이크로소프트(MS) 제품의 불법 정품인증 툴인 ‘KMSAuto’, ‘KMSPico’ 등으로 위장한 악성 실행파일이 그 예다.

안랩에 따르면 공격자는 P2P사이트, 불법 다운로드 사이트 등에 정품인증 파일로 위장한 악성 실행파일을 유포했다. 해당 악성파일을 실행할 경우 비밀번호 입력창이 나타나고 공격자가 제공한 비밀번호를 입력하면 불법 정품인증 툴과 비다르 악성코드가 동시에 설치되는 방식이다.

비다르 악성코드는 감염 PC 내 주요 정보를 외부로 유출한다. 유출 대상 정보는 파일 전송 프로토콜(FTP) 클라이언트 내 저장된 사용자 계정정보, 웹 브라우저 내 계정정보 및 자동채우기 값(브라우저 검색기록 등), 인터넷 쿠키, 암호화폐 지갑주소 등이다.

실제 정품인증 툴과 동일한 아이콘, 파일명을 사용하고 툴 설치까지 진행되는 만큼 악성코드 감염 사실을 파악하기 어렵다, 또 정보유출 행위 이후에도 다른 악성코드를 내려받아 추가 악성행위를 수행할 수 있는 만큼 주의가 필요하다는 것이 안랩 측 설명이다.

이 같은 위협이 불법 SW 사용률이 한국에 특히 치명적인 이유는 ‘사용자는 많은데 사는 사람은 적은’ SW 불법 복제율 때문이라는 지적도 있다.

소프트웨어연합(BGA)에 따르면 2017년 기준 한국의 SW 불법 복제율은 32%다. 세계 평균 37%에 비해 낮은 수치지만 ▲미국 15% ▲일본 16% ▲호주 18% ▲영국21% ▲독일20% 등에 비하면 떨어지는 수준이다.

이재진 안랩 분석팀 연구원은 “공격자에게 탈취된 정보는 추후 금전탈취나 계정도용 등 다양한 범죄에 악용될 수 있다”며 “피해를 예방하기 위해선 정품 SW 사용을 생활화하고 의심스러운 웹사이트나 P2P 이용은 자제하는 것이 좋다”고 말했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널