10여곳 피해 웹사이트서 트로이목마 유포...보다 광범위한 전파 의도
국내 유수 웹사이트를 해킹해 온라인게임이용자정보 탈취용 트로이목마를 유포하는 중국발 해킹피해가 좀처럼 줄어들 기미를 보이지 않는 가운데, 공격자들이 이같은 공격기법을 통해 바이러스를 유포하기 시작했다.

웹사이트 취약점을 이용해 바이러스가 유포되는 경우, 광범위한 전파력을 갖추게 돼 그 피해규모가 상상을 초월할 수 있다는 보안 전문가들의 경고가 이처럼 현실화되고 있는 것이다.

27일 보안업체인 지오트에 따르면, 'http://kids***.or.kr' 'http://*****worldvison.or.kr' 'http://www.****line.ac.kr' 등 지난 13일부터 21일까지 중국발 해킹피해를 당한 10여곳의 국내 중소 규모 웹사이트에서 컴퓨터 바이러스가 유포됐던 것으로 밝혀졌다.

그동안에는 주로 국산 온라인 게임 이용자의 아이디와 비밀번호를 빼내는 트로이목마가 중국발 해킹피해를 당한 사이트에서 유포돼왔으며, 이번처럼 중국발 해킹을 통해 바이러스가 발견되기는 이번이 처음이다.


보안패치가 안된 PC 사용자가 이들 사이트에 접속하게 되면, PC에 존재한 모든 exe 실행파일들을 감염시키는 바이러스 'WINSFC.EXE'가 자신의 PC에 설치된다.

PC에 설치된 'WINSFC.EXE' 바이러스는 PC 내부와 네트워크에 공유된 다른 PC에 있는 모든 '.exe', 'dll' 파일을 찾아 감염을 시도하는 것으로 확인됐다.

이 때문에 감염된 PC는 윈도가 정상적으로 작동되지 않을 수 있으며, 다른 응용프로그램 실행파일(.exe)파일의 코드도 수정되기 때문에 시스템 에러나 충돌이 발생할 수 있게된다.

WINSFC.EXE' 바이러스는 또 'kb021119.exe'라는 또다른 악성코드를 생성시키는데, 이 파일은 'http://cnhonker*******.com'라는 중국 포털사이트에 자동접속해 온라인 게임계정 탈취용 트로이목마로 추정되는 특정 파일 5개를 다운로드하도록 설계돼 있다.

그러나 현재 다운로드를 시도하는 중국 현지 사이트의 경우, 이미 조치가 이루어져 개인정보를 빼내는 트로이목마는 정상적으로 받아지지 않는 것으로 알려졌다.

지오트 관계자는 "이번 사례의 경우, 보다 광범위하게 개인정보를 빼내기 위해 바이러스를 적극 이용하기 시작했다는 점과 이로 인해 온라인 게임 이용과는 상관없이 PC 시스템에 직접적인 피해를 입을 수 있다는 점에서 이용자들의 각별한 주의가 요구된다"고 당부했다.