개발용 유틸리티 프로그램 변조 후 업로드…안랩 “파일 다운로드시 공식 홈페이지 이용해야”

[아이티데일리] 최근 국내 IT커뮤니티 사이트 내 자료실 게시판에서 악성코드 유포 사례가 발견돼, 사용자들의 각별한 주의가 요구된다.

27일 안랩(대표 강석균)은 개발용 프로그램 소개로 위장한 게시물을 통해 악성코드가 유포되는 정황을 발견했다고 밝혔다.

이번 공격사례를 살펴보면 먼저 공격자는 소프트웨어 개발자 등 IT업계 종사자가 이용하는 국내 IT커뮤니티 사이트의 자료실 게시판에 개발용 프로그램 소개를 위장해 게시물을 올렸다. 게시물에는 공격자가 악성코드를 삽입해 변조해놓은 개발용 유틸리티 프로그램(해외 무료 소프트웨어) 설치 파일이 압축파일 형태로 업로드 돼 있었다.

▲ IT커뮤니티 자료실 게시판에 올라온 악성코드 유포글 예시(제공: 안랩)

만약 커뮤니티 이용자가 게시물의 첨부파일을 내려 받아 설치하면 악성코드에 즉시 감염된다. 이 악성코드는 감염 이후 공격자 C&C(Command & Control) 서버와 통신하며 추가 악성코드 다운로드, 사용자 정보 탈취 등 악성 행위를 수행해 다양한 피해를 일으킬 수 있는 것으로 분석됐다. 특히 감염이 돼도 내려받은 프로그램이 정상 구동되기 때문에 사용자는 감염사실을 알기 어렵다.

현재 해당 게시물은 삭제됐으나 유사한 방식으로 악성코드를 유포하는 사례가 나타날 수 있어 각별한 주의가 필요하다.

이와 같은 악성코드 피해를 줄이기 위해서는 ▲인터넷 상 파일 다운로드시 공식 홈페이지 이용 ▲출처를 알 수 없는 파일 실행 금지 ▲OS(운영체제) 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 ▲최신 버전 백신 사용 및 보안 패치 적용 등 필수보안수칙을 준수해야 한다.

김동현 안랩 분석팀 연구원은 “이번 공격은 개발 관련 프로그램 설치 파일을 변조하고 IT정보 관련 주제 게시판에 업로드하는 등 교묘하게 전개됐다”며, “SW를 다운로드 받을 때는 반드시 공식 홈페이지를 이용해야 한다”고 당부했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지