안랩이 최근 프리웨어 소프트웨어 사이트의 광고페이지를 통해 사용자 동의 없이 악성코드를 설치하는 사례를 확인하고 사용자의 주의를 당부했다. 공격자는 시스템에서 현재 사용가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램인 '프록시웨어'(Proxyware)를 통해 수익을 빼간다.
안랩 시큐리티 인텔리전스센터(ASEC)는 최근 블로그를 통해 '광고 페이지를 통해 유포 중인 디지털펄스(DigitalPulse) 프록시웨어'를 발견했다고 발표했다.
이번 공격사례에선 특정 유튜브 다운로더 프로그램의 홈페이지를 거쳐 악성코드가 설치됐다. 다운로드 페이지에 처음 접속한 후 웹 페이지를 클릭하면 광고 페이지가 팝업되고, 랜덤한 확률로 여러 유해가능프로그램(PUP) 및 악성코드, 광고 페이지로 리다이렉트된다.
이번 공격은 프록시재킹으로, 타인의 개인용컴퓨터(PC)를 암호화폐 채굴에 악용하는 크립토재킹(Cryptojacking)과 유사하다. 사용자의 동의 없이 프록시웨어를 설치하고 감염 시스템의 인터넷 대역폭 일부를 외부에 공유해 공격자들이 수익을 얻는 공격방식이다. 공격자는 감염 시스템에 프록시웨어를 몰래 설치하고, 감염된 시스템은 네트워크 대역폭을 탈취당하며 수익은 공격자에게 돌아간다.
특히 과거 프록시재킹 캠페인을 통해 최소 40만대 이상의 윈도우 시스템을 감염시킨 것으로 알려져 있다. 크립토잭킹만큼 잘 알려지지 않은 공격기법이지만 사용자 주의가 필요하다.
안랩 측은 사용자는 공식 홈페이지가 아닌 광고 및 팝업과 같은 의심스러운 웹 사이트나 자료 공유 사이트에서 실행 파일을 설치하는 행위를 주의해야 한다고 제언했다. 또 이미 감염된 시스템의 경우 V3와 같은 백신 프로그램을 설치해 추가적인 악성코드 감염을 막아야 한다고 강조했다.
조재학 기자 2jh@etnews.com
