인터넷 주소 www.3929.cn으로 강제 변경··· 피해 신고접수 40여건에 달해

안철수연구소(대표 김홍선 www.ahnlab.com)는 21일 인터넷 주소를 강제로 변경하는 악성코드가 급속 확산되고 있다고 경고했다. 안철수연구소 시큐리티대응센터의 집계에 따르면 피해 신고가 40여 건이며 변종이 시간 단위로 제작되고 있어 각별한 주의가 필요하다.

이 악성코드는 아이프레임(iframe) 삽입 기법에 의해 유포된다. 즉, 사용자가 해킹 당한 웹사이트에 접속하면 사용자도 모르게 PC에 swf 파일이 설치된다. 안철수연구소 V3 제품군은 'Win-Trojan/Exploit-SWF.Gen'으로 진단한다.

이 파일은 인터넷 광고 등을 보는 데 필요한 프로그램인 플래쉬 플레이어(Flash Player)의 취약점을 이용해 특정 웹사이트로 부터 여러 개의 악성코드를 내려받는다. 이때 내려받은 악성코드는 웹브라우저를 실행했을 때 처음 접속하게 설정된 주소를 www.3929.cn로 강제 변경하는 것을 비롯해, 팝업 광고 창을 띄우는 것, 웹페이지 내 광고를 삽입하고 악성 툴바를 설치하는 것 등 종류가 다양하다.

악성코드의 설치를 방지하려면 'V3 365 클리닉' 등의 보안 제품을 최신 버전으로 유지하는 동시에 실시간 검사 기능을 켜두어야 하며, 플래쉬 플레이어를 최신 버전으로 업데이트해 보안 패치를 적용해야 한다. 이미 감염된 경우에도 V3 제품군으로 치료해야 한다. 안철수연구소는 21일 오후 전용백신을 개발해 웹사이트(http://kr.ahnlab.com/info/download/dwVaccineList.ahn)에서 무료 제공할 예정이다.

안철수연구소 시큐리티대응센터 조시행 상무는 "최근 이처럼 1차로 특정 웹사이트를 해킹해 해당 기업에 피해를 주고, 2차로 개별 PC에 악성코드를 감염시키는 다중적 공격이 늘고 있다. 1차 피해를 막으려면 웹사이트의 소스 코드를 수정해 취약점을 없애야 하고, 2차 피해를 막으려면 PC 보안을 위해 기업과 개인 차원의 철저한 보안 대책이 필요하다"고 전했다.

* 아이프레임(iframe)이란 HTML 문서에서 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임(inline frame)을 말한다. 이미지 태그로 그림 파일을 문서에 포함시키는 것과 유사하며, 최근 악의적인 스크립트를 삽입하는 데 이용된다. 이 기법은 보안 취약점이 있는 웹사이트에 악의적 스크립트를 삽입해두고, 이 페이지에 접속하는 PC에서 특정 인터넷 주소에 접속해 악성코드를 다운로드 및 실행하도록 하는 것이다. 보통 MS의 인터넷 익스플로러에서만 동작하는데, 이번에 발견된 악성코드는 웹브라우저의 종류를 가리지 않아 더 큰 피해가 예상된다.


저작권자 © 아이티데일리 무단전재 및 재배포 금지