서핑 중 갑자기 쇼핑몰로 연결? ‘스폰서 악성코드 확산 주의’ N
No.1096131스폰서 악성코드 급속 확산...사용자 백신 검사 철저히
보안뉴스 오병민] 웹브라우저에서 특정 키워드를 입력하면 쇼핑몰이나 특정 사이트로 연결하는 악성코드가 극성을 부리고 있어 사용자들의 주의가 요구되고 있다. 다행히 아직까지는 특정사이트로 연결되는 것 외에 악성기능은 없는 것으로 파악되고 있지만, 악성코드 스스로 업데이트하는 기능을 가지고 있어 DDoS 공격이나 개인정보 유출 기능 등 악성기능이 추가될 가능성도 제기되고 있다.
최근 ‘윈소프트(WINSOFT)’라는 악성코드가 급속도로 확산되고 있는 것으로 확인됐다. 한국인터넷진흥원(KISA)에 따르면 작년 8월부터 등장한 윈소프트 악성코드가 작년 10월 이후 급속도로 확산된 것으로 파악됐다. 특히 작년 12월부터는 악성코드 신고건수 1위를 차지했으며 올해 1월에는 전달에 비해 3배나 증가한 것으로 파악됐다.
특히 업계에서는 지난 1월 악성코드 신고건수(KISA 조사)가 2,920건으로 최근 5년 사이에 가장 많았던 이유가 윈소프트 악성코드 증가와 큰 연관성이 있을 것으로 파악하고 있다.
윈소프트는 다른 악성코드에 비해 400K에서 700K 정도로 용량이 크기 때문에 웹사이트에서 직접 다운로드되기 보다는 인터넷에서 배포되는 스파이웨어 제거프로그램이나 웹하드 다운로더 등 프로그램과 함께 번들로 설치됐을 가능성을 높은 것으로 분석되고 있다.
윈소프트 악성코드는 웹브라우저의 검색창이나 주소창에 특정 키워드가 국내 쇼핑몰이나 도박 사이트로 연결해주는 기능을 가지고 있다. 이에 따라 보안업계에 따르면 악성코드 제작자가 특정 링크를 통해 쇼핑몰이나 도박 사이트로 연결되면 지급받는 스폰서 비용을 받기 위해 악성코드를 제작했을 것으로 추측되고 있다.
이 악성코드의 가장 큰 위험성은 자체적인 업데이트 기능에 있다. 박시준 안철수연구소 주임은 “현재 이 악성코드는 특정사이트에 포워딩하는 것이 주 기능이지만 자체적인 업데이트 기능을 가지고 있어 제작자가 원한다면 언제든지 악성기능이 추가될 수 있다”고 경계했다.
즉 악성코드 개발자가 스폰서 프로그램으로 인한 수익 외에 다른 악의적인 의도를 가진다면 DDoS공격 기능이나 개인정보 수집기능이 추가될 수 있다는 이야기다.
따라서 박 주임은 “윈소프트 악성코드는 매일 1천여 건 이상 변화된 패턴이 나타나고 있기 때문에 사용자들의 주의가 필요하다”면서 “의도하지 않은 사이트로 연결이 된다면 윈소프트의 감염을 의심해 가급적 백신을 최신 상태로 업데이트한 후 검사 및 치료를 받는 것이 좋다”고 조언했다.
[오병민 기자(boan4@boannews.com)]