하우리(대표 김희천)는 최근 국내에 파워쉘(Powershell)을 이용한 악성코드 유포가 증가해 주의를 요구했다.
파워쉘은 윈도7 이상 버전에서 기본으로 들어간 쉘 프로그램이다. 일반 쉘 프로그램과 달리 닷넷(.NET) 계열 스크립트를 실행할 수 있다. 강력한 기능으로 시스템 관리자가 유용하게 사용한다. 이 기능은 해커에게 노출되면 피해가 커진다. 공격자는 해킹도구(익스플로잇 킷)와 파워셀을 결합해 악성코드를 감염시킨다. 간단한 스크립트 명령을 이용한 파워쉘이 악용된다. 파워쉘을 이용 악성코드 유포 기법은 지난해 5월 처음 등장해 최근 급증했다.
파워쉘을 이용해 감염되는 악성코드 대부분은 랜섬웨어다. 랜섬웨어에 감염되면 많은 종류 문서파일을 암호화하고 금전을 요구한다.
최상명 CERT실장은 “파워쉘이 꼭 필요하지 않으면 실행을 통제해 악성코드 감염 피해를 줄여야 한다”고 밝혔다.
파워쉘을 이용한 악성코드는 하우리 관제 시스템에 조기에 탐지된다. 자동으로 바이로봇 백신에 패턴으로 등록돼 진단 치료한다. 취약점 공격 사전차단 솔루션 ‘바이로봇 APT 쉴드’도 막는다.
김인순 보안 전문기자 insoon@etnews.com
