한글 문서 위장 악성파일도 여전히 기승

국내 인터넷 뱅킹 이용자를 겨냥한 새로운 유형의 악성파일이 등장했다.

9일 정보 보안기업 잉카인터넷에 따르면 이번에 새로 발견된 악성파일은 중국어로 제작돼 있으며 겉모양은 워드패드 파일의 아이콘으로 위장했다.

이 악성파일은 루트 드라이브에 임의의 폴더를 만들고 그 안에 정상적인 ‘csrss.exe’ 파일과 임의의 파일명으로 구성된 악성 dll 파일을 생성하는 것으로 분석됐다.

특징적인 점은 기존에 윈도 운영체제에서 사용하던 ‘rundll32.exe’ 파일을 ‘csrss.exe’ 파일명으로 바꾼 것인데, 이는 악성파일 자신을 최대한 숨기기 위한 수법으로 보인다.

악성파일은 또 폴더 안에 ‘start.lnk’ 파일을 만들어서 컴퓨터를 다시 켜고 나서도 악성 dll 파일이 설치될 수 있도록 하는 것으로 드러났다.

악성파일은 외부 사이트에 접속해 파밍사이트로 사용할 수 있는 파일도 만드는 것으로 분석됐다. 이 과정에서 정상적인 호스트(hosts) 파일을 삭제하기 때문에 이용자가 정상적인 인터넷 뱅킹 사이트를 접속하더라도 파밍 사이트로 연결된다.

파밍 사이트는 ‘전자금융사기 예방시스템 신청’이라는 문구로 이용자를 현혹해 개인정보를 빼내가는 사이트로 연결을 유도한다.

잉카인터넷 관계자는 “보안카드의 전체 비밀번호를 동시에 요구하는 경우는 모두 피싱사이트”라며 이용자의 주의를 당부했다.

한편 한글과컴퓨터(한컴)사의 HWP 문서파일을 위장한 악성파일도 여전히 기승을 부리고 있는 것으로 드러났다.

한글 문서파일의 취약점을 이용한 공격은 과거부터 많이 사용되던 수법이지만, 외부에 쉽게 노출되지 않고 성공률이 높아 여전히 많이 이용된다.

최근에는 실제로 존재하는 단체인 한·중 평화통일 포럼이 발신인인 것처럼 가장해 ‘한국전쟁 정전 60주년 평화를 묻다’ 같은 문서 제목으로 이용자를 현혹하는 악성파일도 발견됐다.

잉카인터넷은 악성 파일로 말미암은 피해를 막으려면 한컴오피스 프로그램을 항상 최신판으로 유지할 필요가 있다고 조언했다.

연합뉴스