PC 화면보호기 확장자를 가장한 악성코드가 나타났다. PC 화면보호기인줄 알고 무심코 눌렀다가는 지능형지속위협(APT) 공격에 노출될 수 있으니 주의가 요구된다.
안랩(대표 권치중) ASEC 대응팀은 PC 화면보호기 확장자인 SCR(Screensaver)이 악성파일로 사용되는 사례를 경고했다.
대다수 PC 사용자에게 SCR 확장자는 생소하다. 화면보호기는 일정시간 동안 키보드나 마우스 입력이 없으면 PC 모니터에 여러 화면을 나타내는 기능을 한다. 공격자는 안티바이러스 탐지 우회와 사용자 클릭을 유도할 목적으로 그동안 악성코드에 자주 쓰지 않던 SCR 확장자를 이용한다.
SCR 확장자를 쓴 악성파일은 APT 공격에 이용되는 것으로 분석된다. 지난 1년간 발견된 SCR 확장자 형태 악성파일은 △김정은 결석 △경찰청 연구결과 △대중외교정책 세미나 △안보의식조사서 등 외교·안보 및 북한 관련 문서다. 지난해 한국수력원자력 APT 공격에도 관련 제목과 유사한 문서 파일이 이용됐다.
이 파일은 그림 모양 아이콘을 갖고 있고 실행하면 내부에 있던 광고나 문서 캡처 등 그림이 실행된다. 해당파일은 C드라이브 특정 경로에 PE파일을 생성하고 사용자 정보를 유출한다.
안랩은 지난해 4월부터 올해 4월까지 나타난 SCR 확장자 이용 악성코드가 명령&제어(C&C) 서버도 비슷한 특징을 보인다고 분석했다. 특정 조직이 지속적으로 국내 기업과 기관을 노린 정황이다.
이런 파일이 국가 주요기관이나 기업에 전달되면 사용자 정보가 유출될 가능성이 높다. 안랩 ASEC팀은 “해당 형태가 지속적으로 발견되고 있어 주의가 요구된다”며 “정보 유출은 물론이고 추가로 명령을 받아 또다른 공격을 실행할 수 있다”고 설명했다.
김인순기자 insoon@etnews.com
