파일공유(P2P) 사이트에 접속하면 사용자의 온라인 게임 계정을 유출시키는 악성코드가 등장해 주의가 필요하다.
안랩(대표 김홍선)은 최근 보안 패치를 실시하지 않은 PC에서 악성코드가 포함된 P2P사이트에 접속할 경우 자동으로 PC를 감염시켜 온라인 게임 계정을 탈취하는 '온라인게임핵(OnlineGameHack)' 악성코드를 발견했다고 14일 밝혔다.
이는 사용자가 보안취약점이 있는 PC로 사전에 서버가 해킹돼 악성코드가 숨겨져 있는 P2P 사이트에 접속하게 되면 감염된다. 그 뒤 최종적으로 온라인 계정탈취에 사용되는 추가적인 악성코드를 다운로드 하기 위해 악성 파일을 감염 PC에 생성한다. 이 파일은 백신 프로그램을 정지시키고 실제 온라인 게임 계정을 탈취한다.
감염된 PC에서 생성되는 악성파일은 특정 P2P 사이트에서 탈취한 실제 인증서로 서명 돼 있는 것이 특징이다. 즉, 악성코드가 인증서를 탈취해 믿을 수 있는 서비스로 자신을 위장한 것이다.
안랩은 인증서 서명을 악용할 경우 백신의 탐지가 매우 어렵다고 설명했다. 이 악성코드는 백신의 동작을 멈추는 기능과 감염 PC의 고유주소인 '맥주소(MAC address)', 운영체제(OS) 정보 등을 전송하는 기능도 가졌다. 현재 안랩은 V3 최신버전을 통해 이를 진단, 치료하고 있다고 밝혔다.
이 악성코드의 피해를 막으려면 자바, 플래시 플레이어, 인터넷 익스플로러 등 사용하고 있는 모든 소프트웨어(SW)의 보안 패치를 모두 적용하는 것이 필수다. 또한 백신 프로그램을 최신으로 유지하고 실시간 감시 기능을 켜놓아야 한다.
관련기사
- MS "한국, 세계 3위 악성코드 유포지"2013.05.15
- 안랩, APT 대응 기술 국내 특허 등록2013.05.15
- 안랩, 새로운 'V3 라이트' 프리뷰 서비스2013.05.15
- 안드로이드 악성코드, 17배↑2013.05.15
이호웅 안랩 시큐리티대응센터장은 이런 종류의 악성코드는 아직 보안패치를 실시하지 않은 PC를 노리는 것이라며 취약한 PC가 웹사이트를 방문만 해도 감염될 수 있고, 디지털서명을 탈취해 자신을 안전한 서비스로 위장해 사용자가 알기가 매우 힘들다고 밝혔다. 또한 사용자들은 각 SW 프로그램의 보안 업데이트를 철저히 하고 안전이 확인된 사이트만을 방문해야한다고 말했다.
이 악성코드는 6개의 자바, 1개의 플래시 플레이어, 1개의 인터넷익스플로러 취약점 등 총 8개의 취약점을 이용했다.
