1. 개 요
2. 유포 경로 및 감염 증상
허위백신의 경우 주로 SNS, 이메일의 첨부파일, 취약점이 존재하는 웹 사이트 등을 통해 지속적인 유포가 이루어지며, XP Antispyware와 같은 허위백신은 아래의 그림과 같이 꾸준히 버전업을 해오고 있다.
해외를 중심으로 초기에 XP Antispyware와 같은 허위백신이 유포될 당시 왠만한 백신보다 깔끔한(?)인터페이스와 사용자 PC에 대한 허위 감염 보고로 인해 일반 사용자들의 경우 정상적인 백신 제품에 의한 진단으로 오인 후 치료를 위한 결제를 진행하는 등 금전적인 피해 발생 건이 다수 보고된 바 있다.
최근에는 이러한 허위 백신이 돈벌이 수단으로 국내에서도 다수 출현하고 있으나, 실제적으로 금전적 피해를 유발하는 경우는 극소수이다. 다만, 허위 백신에 감염될 경우 이와 같은 금전적 손실은 차치한다 해도 정상적인 PC사용이나 완벽한 삭제가 어려워 일반 사용자들의 경우 어려움을 겪을 수 있다.
우선, 감염되면 아래의 그림과 같이 허위 감염 보고 창과 함께 해당 허위 백신의 메인 화면을 볼 수 있다.
위 그림과 같이 허위 감염 보고창을 출력한 후 자연스럽게(?) 프로그램 등록을 위한 창을 출력한다. 해당 창은 결제 유도를 위한 과정의 하나로 "Register" 버튼을 클릭할 경우 역시나 아래의 그림과 같은 결제창을 최종적으로 출력하게 된다.
허위 백신 유포자들의 최종 목적인 결제를 성공시키기 위해 위 그림과 같이 매우 깔끔한 결제창을 보여주고 있다. 자세히 살펴보면, "DOWNLOAD", "SUPPORT" 등의 메뉴도 존재하나 모두 정상적인 서비스는 제공하지 않고 있다.
허위 백신들은 위 그림과 같이 결제라는 자신들의 의지를 관철시키기 위해 때때로 사용자들을 매우 곤란한 상황으로 내몰기도 한다. 아래의 그림은 허위 백신에 감염된 후 인터넷을 사용하기 위해 브라우저를 실행한 상태이다.
인터넷익스플로러 실행이 되지 않는다. 해당 허위 백신은 위 그림과 같이 방화벽으로 위장한 기능을 통해 마치 감염된 파일을 사용자가 실행한것 처럼 위장하고 있다. 위 그림에서는 iexplore의 실행 화면만을 보여주지만 실제로는 cmd.exe, regedit.exe 등의 기본적인 명령조차 해당 허위 백신의 방화벽에 막혀 실행이 되지 않는다.
위와 같은 창이 뜨는 이유는 레지스트리 상에서 대부분의 Shell -> open 명령에 해당 허위 백신과 관련한 실행파일이 삽입되어 있기 때문이며, 수동적인 치료를 위해서는 프로세스 처리와 레지스트리 삭제와 같은 몇 단계의 절차를 거쳐야 함으로 일반 사용자들의 경우 어려움을 느낄 수 있을 것이다.
허위 백신의 경우 XP Antispyware와 같이 널리 알려진 종류도 있으나 정상적인 프로그램 등으로 교묘히 위장하는 형태도 있다. 아래의 그림은 얼마전 이슈가된 바 있는 코덱파일 위장형 허위 백신의 실행 화면이다.
파일명뿐만이 아니라 프로그램 자체도 Kaspersky 사의 제품으로 위장한 형태이다. 물론 위 그림상에서 검출된 쿠키들도 모두 허위 내용들이다.
3. 예방 조치 방법
이러한 허위 백신들은 대부분 금전적 이득을 목적으로 하는 경우가 대부분이며, 목적 달성을 위해 사회공학 기법 등 다양한 방법을 통해 유포 시도를 한다. 감염될 경우 기본적으로 삭제 방법이 까다로우며, 종류에 따라 정상적인 PC 사용에 지장을 줄 수 있는 등 금전적 피해 외적으로 사용자 입장에서 어려움을 겪을 수 있다. 때문에 이러한 종류의 악성파일로 부터 안전한 PC사용을 위해서는 아래와 같은 "보안 관리 수칙"을 준수하는 등 사용자 스스로의 관심과 주의가 무엇보다 중요할 수 있다.
1. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치를 생활화.
2. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 항상 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 감시 기능을 "ON" 상태로 유지해 사용.
3. 출처가 불분명한 이메일의 첨부파일에 대한 다운로드를 지양.
4. SNS 이용시 출처가 불분명한 링크의 경우 해당 링크 접속 주의.
5. 널리 알려지지 않거나 자주 사용하지 않는 사이트에 대한 이용 시 접속 주의.
6. 연말연시, 크리스마스 등과 같은 사회적 이슈 기간에는 사회공학 기법을 이용한 악성파일 유포에 대한 관심과 주의 필요.
※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 이러한 사회공학 기법을 악용한 여러 보안 위협에 대비해 24시간 지속적인 대응체계를 유지하고 있다.
'최신 보안 동향' 카테고리의 다른 글
[정보]국내 유명 기업 표적 공격(APT)형 수법 공개 (1) | 2012.03.07 |
---|---|
[주의]Postcard from Hallmark 허위 보안 정보 확산 중 (0) | 2012.01.06 |
[정보]연말연시 사회공학 기법을 통해 유포될 수 있는 악성파일 주의 (0) | 2011.12.01 |
[정보]한글(HWP) 취약점을 이용한 악성파일 지속 등장 (0) | 2011.11.21 |
[정보]악성 스팸 이메일의 다양한 형태와 변화 (0) | 2011.11.18 |