AVG로 위장한 허위백신 등장에 따른 주의필요

1. 개 요

최근 해외를 중심으로 지속적인 유포가 이루어졌던 허위백신이 이번에는 실제 Anti-Virus 제품인 AVG로 위장하여 유포 중인 것이 확인되었다. 실제 AVG Anti-Virus 제품을 사용해보지 못했거나 국내 백신제품을 주로 이용하던 사용자들은 이 허위백신이 마치 정상 Anti-Virus 제품인 것으로 현혹될 수 있기 때문에 주의가 필요하다.


2. 감염경로 및 증상

이번에 발견된 허위백신 또한 다른 허위백신과 마찬가지로 이메일의 첨부 파일, 변조된 웹사이트 접근, 또는 트위터와 페이스북 등의 SNS(Social Network Service)를 통한 링크 접속으로 아래의 그림과 같은 허위백신 설치파일을 다운로드할 수 있다.

다운로드된 허위백신 설치파일은 실제 AVG 제품과 유사한 아이콘 모양을 가진다. 또한, 위 그림과 같이 파일 설명부분에 또 다른 보안 업체인 Dr.Web이 기재되어 있는 것이 이 허위백신 설치파일의 특징이다.

해당 파일을 실행할 경우 아래의 그림과 같이 "AVG Anti-Virus" 문구가 있는 설치화면을 보여주어 사용자들을 속일 수 있다.

설치가 완료되면 역시 다른 허위백신과 다를 바 없이 아래의 그림처럼 악성파일에 대한 허위진단 화면을 보여준다.

허위진단된 항목에 대한 치료를 위해 "Remove All" 버튼을 클릭하면 아래의 그림과 같이 활성화를 위한 "Activation code"를 요구한다.

"Activation code"를 발급받기 위해 위 그림의 적색박스의 "Activate"를 클릭할 경우 역시나 의심했던 대로 아래의 그림과 같은 결재 창을 보여주게 된다.

위 그림과 같은 결재유도를 제외하고 사용자들에게 불편을 줄 수 있는 증상이 더 있다. 결제창을 종료한 후 인터넷 사용을 위해 "Internet Explorer"를 실행하면 아래의 그림과 같은 창을 보여주며 인터넷 접속을 방해한다. 물론, 아래 그림의 경고 문구는 모두 허위정보이니 신경 쓸 필요 없다.

또한, 주소창에 접속을 원하는 URL을 직접 입력하게 되면 아래와 같은 창을 보여주게 된다.

위 그림과 같은 증상을 없애기 위해 사용자들은 "Fix Now 버튼을 클릭해야겠다..." 라는 생각과 함께 해당 버튼을 클릭할 것이다. 클릭하게 되면 바로 다시 결재 창이 뜬다.

또한, 허위백신이 설치되면 일정 시간이 흐른 후 아래의 그림과 같은 업데이트 창을 볼 수 있다.

"Update Now" 버튼을 클릭하게 되면 아래의 그림과 같은 창을 출력하며, 결재유도를 하게 된다.

이러한 증상들에 대해 불편함을 느껴 아래의 그림과 같이 허위백신 종료를 위해 윈도우 오른쪽 하단의 트레이 창에 우클릭 후 "Close" 메뉴를 실행해도 허위백신은 종료되지 않는다.

허위백신은 모두 한결같이 결재유도 창을 보여주며, 최종적으로 금전적 이득을 목적으로 사용자들에게 피해를 줄 수 있다. 물론 진단되었던 악성파일에 대한 치료기능은 제공하지 않는다.

3. 예방 조치 방법

국내외 제품을 가리지 않고 백신제품을 많이 사용해본 사용자들은 이러한 허위백신에 대해 대부분 현혹되지 않을 것이다. 그러나 현재 기업 및 관공서, 개인 사용자들은 백신에 대한 다양한 사용을 해보지 못한 경우가 대부분이기 때문에 자칫 허위백신에 현혹되어 결재로 인한 금전적 피해를 입을 수 있다.

이러한 허위백신으로부터 안전하기 위해서는 ▶윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치의 생활화, ▶신뢰할 수 있는 보안업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용해야 하며, ▶발신처가 불분명하거나 신뢰할 수 없는 이메일에 대한 열람 또는 링크에 대한 접속을 주의해야 한다.

이번에 발견된 허위백신은 다양한 변종이 지속적으로 유포되고 있다. 잉카인터넷 nProtect 제품군에서는 이번에 발견된 허위백신에 대해 아래의 그림과 같이 진단/치료 기능을 제공하고 있으며, 이러한 보안위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.