MSN메신저로 전파되는 WMF취약점 공격 국내 첫 피해.."확산 우려"
국내에서 웹사이트 해킹을 통해 전파되는 윈도메타파일(WMF) 취약점 공격이 이어지고 있는 가운데, 이번에는 MSN 메신저로 확산되는 WMF 공격 피해가 국내에서 처음 발생했다.

17일 안철수연구소에 따르면, 전날 오후 3~4시경 국내에서 MSN 메신저를 이용해 전파되는 악성 WMF파일로 인한 피해사례가 처음 신고 접수됐다.

피해자들은 이날 MSN메신저를 통해 특정 주소(http://www.pauloXXXXXX.com/img/info/index.php?pg_id=44??81)가 링크된 메시지를 받았다.

일부는 이를 무심코 클릭했다가 악성 봇(Bot)에 감염되거나 자신의 메신저 주소록에 등록된 사용자들에게 동일한 메시지를 보내는 피해를 입었다.

MSN 메신저에 링크된 주소에는 'e.wmf'라는 악성 WMF 파일이 숨겨져있다.

최신 윈도 보안패치를 받지 않은 사용자가 무심코 링크 주소를 클릭하는 순간, WMF 파일이 자동실행되면서 특정 FTP서버에 접속돼 악성 봇(Bot)에 감염되는 구조다.

악성 봇은 공격자가 감염된 PC의 정보유출은 물론 원격지에서 스팸메일을 발송하거나 다른 시스템을 공격하도록 조정할 수 있는 일종의 해킹 프로그램이다. 악성 봇에 감염된 PC를 흔히 좀비PC라 불린다.

해커는 또 링크된 주소에 WMF 파일과 함께 악성 봇(Bot) 실행파일 자체를 동시에 숨겨놓음으로써 굳이 WMF 취약점을 이용하지 않더라도 자체적으로 유포될 수 있도록 했다.

무엇보다 유포 수법 면에서 WMF 취약점 공격과 악성코드 스스로 전파경로를 탐지해 확산하는 웜(worm) 기능이 결합됐다는 점에서 주목된다.

이들 악성코드에 감염된 일부 피해자들은 자신의 MSN 메신저에 등록된 모든 사용자들에게 동일한 메시지를 자동 발송된 것으로 알려졌다.

이에 대해 안철수연구소 정진성 연구원은 "악성 봇의 기능인지, WMF 취약점을 이용해 받아온 또다른 악성코드의 기능인지는 확인되지 않았지만, 웜 기능이 결합됐던 것만은 분명하다"고 밝히고, "그러나 이번에 국내에 피해를 일으킨 악성 봇 채널의 경우, 현재 정상 작동되지는 않는 것으로 보인다"고 밝혔다.

한편, 윈도메타피일(WMF) 취약점은 MS 윈도가 이미지 파일인 WMF를 처리하는 과정상의 오류를 이용해 원격에서 악성코드를 심을 수 있는 취약점으로, 해당 취약점이 발견된지 24시간도 지나지 않아 이를 이용한 악성코드(제로데이 공격)가 등장, 연말연시 전세계 보안 전문가들을 크게 긴장시켰다.

안철수연구소는 "의심스런 인터넷주소가 링크된 메신저는 되도록 클릭하지 말아야 하며, 무엇보다 아직까지 보안패치를 받지 않은 사용자들은 가급적 빨리 다운로드 받을 것"을 당부했다. 또 웹사이트 방문시나 메신저 사용시 실시간 감지기능을 켜두거나 자주 바이러스 검사를 실시하는 등 보안을 생활화해줄 것을 당부했다.