PC용 웹브라우저에 입력하는 계정 정보를 탈취하는 악성코드가 국내에 유포돼 주의가 요구된다.

보안전문기업 하우리(대표 김희천)는 최근 웹사이트 접속 시 입력하는 계정 정보를 탈취하는 악성코드가 국내에 유포되고 있어 국내 사용자들의 주의가 필요하다고 밝혔다.

하우리 인텔리전스 위협 탐지 시스템(Radar)에 의해 발견된 이번 악성코드는 현재 국내에 유포 중인 ‘헤르메스’ 랜섬웨어와 함께 최신 플래시 취약점 등을 이용하는 ‘선다운(Sundown)’ 익스플로잇 킷을 통해 유포됐다. 이 방식은 웹 서핑 도중 사용자 모르게 은밀히 감염되기 때문에 사용자들이 인지하기 어려운 특징이 있다.

웹을 통해 최초 감염된 악성코드는 웹브라우저가 아닌 ‘윈도우 탐색기(explore.exe)’에 특정 코드를 삽입한 다음 사용자 PC 내의 각종 정보들을 수집해 특정 서버로 전송하는데, PC에 상주하며 주요 웹 브라우저(‘인터넷 익스플로러’, ‘크롬’, ‘파이어폭스’, ‘오페라’)의 입력 데이터를 가로채 웹 사이트에 접속하는 계정 정보들을 식별하여 로그로 남기고 탈취한다. ‘HTTPS’ 보안 프로토콜을 통해 통신하는 웹사이트라 할지라도 암호화되기 전 원본 입력 정보를 가로채기 때문에 계정 정보를 탈취할 수 있다.

하우리 최상명 CERT 실장은 “랜섬웨어를 유포하는 조직이 함께 유포하는 악성코드로 금전적인 이득을 목표로 하는 것으로 추정된다”라며 “가상화폐 거래소 등 다양한 웹사이트의 계정 정보가 탈취되어 2차 피해를 유발할 수 있다”고 주의를 당부했다.

이에 따라 PC방은 카운터 PC에서의 인터넷 사용을 최소화해야만 감염으로 인한 피해를 예방할 수 있을 것으로 보인다. 간단한 웹서핑일지라도 의심되는 사이트에는 접근하지 말아야 하며 이메일 확인 등도 카운터 PC에서는 가급적 자제하는 것이 바람직하다.

▲ 국내 가상화폐 거래소의 접속 계정정보를 탈취한 악성코드가 남긴 로그 (자료제공: 하우리)
저작권자 © 아이러브PC방 무단전재 및 재배포 금지

관련기사