안랩(대표 김홍선, www.ahnlab.com)은 최근 '3.20 전산망 장애 전용백신'으로 위장한 악성코드가 발견되었다고 발표했다. 안랩은 이를 8일 발견해 V3를 긴급 엔진 업데이트하고 (진단명: Dropper/Backdoor(2013.04.08.05) 사용자의 주의를 당부했다.
이번 악성코드는 한국인터넷진흥원(KISA)에서 배포하는 전용백신 안내 메일로 위장하여 유포되었다.
3.20 악성코드에 감염되지 않았을까 불안해하는 사용자의 심리를 자극해 첨부 파일을 다운로드하거나 메일을 계속 회송하게 함으로써 APT(Advanced Persistent Threat; 지능형 지속 공격)를 시도한 것으로 파악된다.
공격자는 chol.com의 메일 계정을 사용해 chol.com 메일 계정을 가진 특정인에게 이메일을 보낸다. 메일 제목은 '3.20 전산대란 악성코드 검사/치료용 보호나라(KISA) 백신에 관련'이며, 본문은 '3.20 전산대란을 일으켰던 악성코드가 심겨져 있는지 검사/치료할 수 있는 전용백신에 관련 KISA 안내입니다.'로 시작된다. 본문 말미에는 '인터넷 진흥원 홍보실'로 메일 작성자를 가장했다.
메일에 첨부된 "다운로드 및 사용방벙 안내.alz"는 "다운로드 및 사용방벙 안내.chm"이란 도움말 파일을 포함하고 있다. 이 때문에 마치 전용백신을 사용하는 데 필요한 파일로 오해할 수 있다.
그러나 해당 도움말 파일을 실행하면 화면에는 전용백신 도움말이 나타나지만 백그라운드에서는 악성코드가 생성 및 실행된다.
이후 한국 내에 위치한 C&C 서버와 통신을 한 후 추가로 악의적인 행위를 하는 것으로 추정된다. 그러나 분석 당시 이 C&C 서버가 정상 동작하지 않는 상태여서 어떤 악의적 행위를 하는지는 확인되지 않았다.
현재 KISA는 '보호나라(www.boho.or.kr)' 사이트를 통해 이 같은 사실을 알리고 사용자 주의를 촉구하고 있다. C&C 서버를 접속 차단하고 웹사이트에 주의사항을 공지하는 등 긴급 조치를 한 상태이다. 또한 KISA는 전용백신 안내 메일을 별도로 발송하지 않으며, 이메일 계정도 chol.com이 아니라 kisa.or.kr이다. 따라서 이 점을 눈여겨 보면 피해를 당하지 않을 수 있다.
안랩 시큐리티대응센터의 이호웅 센터장은 "사회적으로 주목 받는 이슈는 항상 악성코드에 악용되어 왔다. 사용자는 이메일을 받았을 때 해당 기관에서 발송한 것이 맞는지 확인해보고 첨부 파일을 함부로 실행하지 않는 등 주의가 필요하다."라고 강조했다.