본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

‘제휴 프로그램’을 통해 숨어드는 파밍 악성코드

by 파스칼바이런 2015. 11. 16.

‘제휴 프로그램’을 통해 숨어드는 파밍 악성코드

AhnLab / 2015-11-11

 

 

 

 

최근 응용 프로그램 설치 시 함께 설치되는 ‘제휴 프로그램’의 업데이트 서버를 변조해 파밍 악성코드가 유포된 사례가 발견됐다. 제휴 프로그램의 정상적인 업데이트 파일로 위장해 사용자의 PC에 설치된 파밍 악성코드는 공인인증서를 탈취하고, 인터넷 접속 시 금융감독원을 사칭하는 팝업창을 통해 사용자의 개인정보를 입력하도록 유도하고 있어 사용자의 각별한 주의가 필요하다.

 

 

“프로그램 이용 약관에 동의합니다.”

 

응용 프로그램 설치 시 항상 보게 되는 문구다. 대부분의 PC 사용자들은 동영상 플레이어, 문서 뷰어 프로그램, 각종 유틸리티 프로그램 등 다양한 응용 프로그램을 설치하여 이용하고 있다. 이러한 응용 프로그램은 설치에 앞서 해당 프로그램 이용에 필요한 약관을 명시하고 있는데, 분량도 상당할 뿐만 아니라 읽기도 불편하게 되어 있다.

 

그러나 프로그램을 설치할 때는 설치되는 구성 요소와 약관을 확인하는 습관이 반드시 필요하다. 이를 소홀히 하면 불필요한 프로그램(Potentially Unwanted Program, PUP)이나 최악의 경우 악성코드가 함께 설치될 수 있기 때문이다.

 

 

[그림 1]은 최근 파밍 악성코드 유포에 이용된 파일 공유 프로그램의 업데이트 화면이다.

 

[그림 1] 파일공유 프로그램 업데이트 화면

 

 

사용자가 위의 화면에서 ‘업데이트 구성요소 및 스폰서 프로그램 선택’ 부분을 확인하지 않고 업데이트를 진행하면 사용자도 모르는 사이 “제휴 프로그램”이 함께 설치된다. 그러나 [그림 2]와 같이 상세보기 버튼을 클릭하면 십여 개의 ‘업데이트 구성요소 및 스폰서 프로그램’이 함께 설치될 것임을 알 수 있다. 이 중 아래 4개가 제휴 프로그램이다. 이처럼 제휴 프로그램에 대한 내용은 별도의 버튼을 클릭하지 않는 한 사용자는 이들의 존재 자체를 인지하지 못할 수 있다.

 

[그림 2] 화살표버튼 아래 숨겨진 제휴 프로그램

 

 

이렇게 설치된 불필요한 제휴 프로그램은 PC 시작 시 자동으로 실행된다. 특히 이들은 PC에 계속 남아있으면서 주기적으로 업데이트되어 새로운 파일을 추가로 다운로드 및 실행한다. 문제는 이들 불필요한 프로그램들이 업데이트 될 때 생성되는 파일 역시 사용자들이 인지할 수 없을 뿐만 아니라 악성코드 유포에 악용될 가능성이 크다는 점이다.

 

 

불필요한 프로그램의 경우 정상적인 업데이트 파일인지 확인하는 기능이 없다. 따라서 악의적인 공격자가 불필요한 프로그램의 업데이트 파일을 악성 파일로 몰래 교체해두어도 불필요한 프로그램은 이 악성 파일을 정상적인 업데이트 파일로 간주하고 사용자의 PC에 다운로드 및 실행하게 되는 것이다.

 

 

최근 발견된 파밍 악성코드도 이처럼 불필요한 프로그램의 업데이트 서버를 변조하여 유포되었다. 제휴 프로그램의 정상적인 업데이트 파일로 위장한 악성 파일을 통해 사용자 PC에 설치된 파밍 악성코드는 윈도우 ‘시작프로그램’에 등록되어 공인인증서를 탈취하는 것으로 확인되었다. 또한 [그림 3]과 같이 시스템의 DNS 주소를 변조하여 사용자를 파밍 사이트로 유도한다.

 

[그림 3] 변조된 DNS 서버 주소

 

 

이 파밍 악성코드에 감염된 PC에서 사용자가 인터넷 익스플로러를 실행하면 [그림 4]와 같이 금융감독원을 사칭하는 팝업창이 나타난다. 이 팝업창에 나타난 금융 사이트 중 하나를 클릭하면 [그림 5]와 같이 사용자의 개인정보 및 금융정보를 입력하는 페이지로 연결된다. 만일 사용자가 주민등록번호, 계좌번호, 보안카드 번호 등을 입력하면 심각한 피해를 초래할 수 있어 각별한 주의가 요구된다.

 

[그림 4] 금융감독원 사칭 팝업창

 

[그림 5] 개인정보 및 금융정보 탈취 페이지

 

 

이처럼 파밍 공격은 점점 더 교묘하게 진화하고 있다. 이러한 공격을 예방하기 위해서는 평소 프로그램 설치 시 제휴 프로그램 등 불필요한 프로그램이 설치되는 것은 없는지 꼼꼼히 살피는 습관이 필요하다. 또한 평소 OS 및 소프트웨어의 보안 업데이트를 설치하고 V3 등 백신(Anti-Virus) 제품을 최신 버전으로 유지하는 등 기본적인 보안 수칙을 준수하는 것이 바람직하다.

 

 

한편 V3 제품에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

PUP/Win32.onoffpop (2015.10.29.00)

Dropper/Win32.Banki (2015.10.29.00)