유클린 뉴스

1회인터넷에도 사람이 살아요
목록

'프론트페이지'로 위장한 트로이목마 등장

보안경고창 이용한 악성코드 유포, 중국발 해킹 신주류로 부상

성연광 기자  |  2005.12.26 10:29
보안경고창 이용한 악성코드 유포, 중국발 해킹 신주류로 부상
image

국내 유수 웹사이트를 해킹해 이곳을 통해 악성코드를 유포한 뒤 온라인 게임이용자 정보를 탈취해가는 중국발 해킹이 여전히 기승을 부리는 가운데, 이번에는 MS 프론트페이지로 위장한 악성코드가 등장해 이용자들의 각별한 주의가 당부된다.

그동안 중국발 해킹을 통해 유포되는 악성코드는 대부분 MS 브라우저의 보안 취약점을 이용했기 때문에 보안패치가 끝난 PC 이용자는 전혀 해가 없었으나, 이번에 'MS 프론트페이지' 프로그램으로 위장한 악성코드의 경우, 보안경고창이 떠서 사용자의 '동의'를 구하는 액티브(Active X) 컨트롤 방식이기 때문에 보안패치 여부와는 상관없이 누구나 쉽게 감염될 수 있다.

26일 보안업체 지오트에 따르면, 전날 국내 IT컨설팅업체인 B사 홈페이지(http://www.beoXXXX.com)이 해킹을 당해 이 사이트에서 악성코드(트로이목마)가 유포 중인 것을 발견했다.

이 사이트에서 유포중인 트로이목마는 기존 MS 익스플로러 보안 취약점 대신 보안 경고창(액티브 X 컨트롤)을 이용한 것이 특이하다.

사용자 PC에 설치되는 프로그램은 '마이크로소프트 프론트페이지(Microsoft frontpage)'로 위장돼 있으나, 사실은 특정 국내 온라인 게임이용자의 아이디와 비밀번호를 훔쳐가는 트로이목마인 것으로 조사결과 드러났다.

이같이 보안 경고창을 통해 악성코드를 유포하는 방식은 해당 웹사이트 이용에 필요한 프로그램인 것처럼 오인하기 쉬운데다, 이용자 PC의 보안패치 여부와는 상관없이 '설치동의' 버튼을 클릭하는 순간, 곧바로 감염될 수 있다는 점에서 이용자들의 철저한 주의가 당부된다.

지오트 관계자는 "이 파일에 감염되면, 특정 온라인 게임 접속시 PC 사용자의 아이디와 비밀번호가 중국 도메인 계정으로 빠져나간다"며 "다만, 개인정보가 전송되는 중국 현지 서버가 한글 윈도OS를 사용하고 있다는 점이 아이러니컬하다"고 밝혀, 중국 해커가 아닌 내국인이 일종의 '해킹 세탁'을 위해 중국 현지 서버를 이용했을 가능성도 배재할 수 없게됐다.

한편, 지난 10월 중순부터 'MS 플래시' 파일로 위장한 악성코드가 간헐적으로 출현하기 시작했으며, 지난 23일에는 'MS 비주얼 스튜디오'로, 이번에는 'MS 프론트페이지'로 위장한 악성코드가 등장하는 등 보안경고창을 이용한 악성코드 유포방식이 중국발 해킹의 신주류로 이용되고 있다.