보안패치 발표이후에도 국내 PC 이용자들을 겨냥한 윈도메타파일(WMF) 취약점 해킹 공격이 잇따르고 있어, 각별한 주의가 요구된다.

16일 지오트에 따르면, 전날 오후 7시께 국내 유학관련 사이트(http://www.globXXXXX.co.kr)
와 농산물 관련 사이트(http://www.sangXXXXX.co.kr) 등 2곳이 잇따라 해킹을 당해 악성 WMF파일이 유포됐던 것으로 확인됐다.

이번에 피해를 당한 유학 관련 사이트의 경우, 공격자는 이 사이트를 해킹한 뒤 PC 이용자들이 이곳에 접속하면 'korea.wmf'파일이 자동 실행되도록 했다.

윈도 보안패치(MS06-001)가 이루어지지 않은 사용자가 접속할 경우, 사용자의 PC에 자동 설치돼 일종의 해킹프로그램인 'korea.exe' 코드를 다시 다운받는다.

'korea.exe' 는 사용자의 PC를 원격지에서 해당 PC를 원격 조정할 수 있는 백도어 프로그램인 것으로 확인됐다.

그러나 농산물 관련 사이트에서 발견된 악성 WMF 파일은 이번 유학 사이트에서 발견된 것과는 다른 변종인 것으로 확인돼, 국내 사용자들을 대상으로 WMF파일을 유포하는 공격자가 적어도 2팀 이상인 것으로 지오트측은 추정하고 있다.

지오트 관계자는 "이들 파일은 현재 백신으로 진단되지 않는 신종"이라며 "그러나 현재 해킹수법이나 파일의 패턴으로 봐선, 그간 지속돼온 중국발 해킹의 공격자들일 가능성이 높아보인다"고 추정했다.

지오트측은 해당업체에 해킹피해 사실을 통보했으나, 아직까지 보안조치가 이루어지지 않은 상태다.

윈도메타피일(WMF) 취약점은 MS 윈도가 이미지 파일인 WMF를 처리하는 과정상의 오류를 이용해 원격에서 악성코드를 심을 수 있는 취약점으로, 해당 취약점이 발견된지 24시간도 지나지 않아 이를 이용한 악성코드(제로데이 공격)가 등장, 연말연시 전세계 보안 전문가들을 크게 긴장시켰다.

특히, 우리나라를 비롯해 전세계적으로 유포사례가 빠르게 확산되자 지난 6일 마이크로소프트가 이에 대한 보안패치를 서둘러 내놓은 바 있다.

보안 전문가들은 패치발표 이후에도 국내에서 WMF 취약점 공격이 잇따르고 있다는 점을 주지해 "아직까지 보안 패치를 받지 않은 PC 이용자들은 가급적 빨리 관련 패치를 다운받고, 사이트 접속시에도 최신백신엔진의 실시감 감지기능을 이용해 줄 것"을 당부했다.