컨텐츠 바로가기

03.19 (화)

토렌트서 '한글 2017' 설치 시 좀비 PC 된다

댓글 1
주소복사가 완료되었습니다
IT NEWS

▲사진 자료=이스트시큐리티 시큐리티대응센터(ESRC).

<이미지를 클릭하시면 크게 보실 수 있습니다>


한글과컴퓨터사의 최신 문서 작성 소프트웨어처럼 위장한 악성프로그램이 불특정 다수에게 전파 되어 각별한 주의가 필요하다.

지난 11월 13일 부터 일부 파일 공유 사이트(토렌트)를 통해 '[한글]2017 HWP2017', HWP2017 한글 2017' 등의 제목으로 다운로드를 유도하고 있다. 해당 소프트웨어를 개발해 판매하고 있는 한컴사에서는 얼마 전 '한컴오피스 2018' 신제품을 출시한 상태이지만, '한글 2017' 이름을 가진 제품은 공식적으로 존재하지 않고, 'NEO' 버전이 '2018' 이전의 정식 제품군에 속하고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석에 따르면 악성파일 유포자는 신규 제품의 출시 시점에 맞춰 마치 최신 버전의 소프트웨어처럼 위장해 유포에 활용한 것으로 추정하고 있다.

토렌트를 통해 배포될 경우 감염 대상자들은 주로 상용 소프트웨어를 검색 후 불법 다운로드 받아 사용하는 계층이 포함되며, 기존에 널리 알려지지 않았던 새로운 버전으로 착각해 쉽게 현혹될 수 있다.

우선 공격자는 새벽시간 토렌트 사이트에 다음과 같이 2종류의 한글 제목으로 글을 게시했다.

IT NEWS

▲사진 자료=이스트시큐리티 시큐리티대응센터(ESRC).

<이미지를 클릭하시면 크게 보실 수 있습니다>


다운로드된 '한글2017 HWP2017.zip' 압축 파일의 용량은 대략 280Mb 정도로 얼핏 보기에는 고용량의 정상 소프트웨어로 착각하기 쉽다. 이처럼 공격자는 나름 지능적으로 용량을 적절하게 지정해 이용자들이 보다 쉽게 신뢰하도록 만들었다.

토렌트로 배포된 압축 파일에는 정상적인 문서작성 프로그램처럼 보이도록 하기 위해 정상 파일을 함께 포함시켜 두었다. 아래 (그림 2) 사진을 보면 'HWP2017.exe' 파일만 수정한 날짜가 2017년 11월 13일이라는 것을 알 수 있다.

IT NEWS

▲사진 자료=이스트시큐리티 시큐리티대응센터(ESRC).

<이미지를 클릭하시면 크게 보실 수 있습니다>


압축을 해제하면 두개의 실행프로그램이 상위폴더에 존재하고, 'HWP2017.exe' 파일이 메인 파일로 보이도록 만들어 두었고, 실제 이 파일이 악의적인 기능을 수행하게 되는 악성파일이다. 이용자가 압축을 해제 후에 'HWP2017.exe' 파일을 실행하면 시스템 드라이브 최상위 경로에 'hwp' 폴더를 생성하고, 그 내부에 'hwp.exe', 'hwp.exe.config' 파일을 생성하고 실행하게 된다.

IT NEWS

▲사진 자료=이스트시큐리티 시큐리티대응센터(ESRC).


그리고 'C:\Users\사용자계정\AppData\Roaming' 경로에 Watchdog Protection 기능의 'hdog.exe', 'hdong.exe.config' 파일을 생성하고 실행한다. 이 파일은 'hwp.exe' 파일의 프로세스가 종료되지 않도록 모니터링 및 런처 기능을 수행하게 된다. 따라서, 해당 악성파일을 제대로 제거하기 위해서는 먼저 'hdog.exe' 파일의 프로세스를 먼저 종료하고, 그 다음에 'hwp.exe' 프로세스를 종료하는 순서가 필요하다.

이 악성파일은 Orcus RAT 서버파일로 공격자는 원격제어 기능을 탑재해 문서작성 프로그램처럼 위장해 유포한 것이다. 이 RAT 종류는 독일에서 제작된 것으로 알려져 있으며, 한국에서도 악용 사례가 꾸준히 보고되고 있다. 이 RAT 종류에 감염될 경우 대부분의 원격제어 기능에 노출되어 좀비 PC로 전락하게 된다.

공격자는 명령제어 서버(C2) '211.110.35.168' 한국(KR) 호스트로 접속 대기를 유지하며, 접속이 완료되면 감염 컴퓨터를 원격제어하여 개인정보 탈취 및 다양한 피해를 준다.

이렇듯 토렌트로 배포되는 불법 소프트웨어에는 은밀하게 악성파일이 숨겨져 있는 경우가 많아 자신도 모르게 좀비 PC로 전락하는 피해를 입을 수가 있어 상용 소프트웨어는 반드시 정품을 사용하고, 비정상적인 프로그램은 절대 실행하지 않는 것이 중요하다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있다”며, “알약에서는 Gen:Variant.Razy.107843 탐지명 등으로 추가된 상태이며, 또 다른 변종 출현에 대비에 보안 모니터링을 강화하고 있다”고 밝혔다.

[임정호 기자 art@itnews.or.kr]


기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.