'초코플레이어' 등 국산 애드웨어, 메모리 해킹용 악성파일 무차별 유포중

애드웨어 서버 해킹을 통한 메모리 해킹용 악성파일 유포 심각 수준

아주경제 장윤정 기자 =  국내 애드웨어 서버를 통해 메모리 해킹용 악성파일이 지속적으로 유포되고 있는 것으로 확인됐다.

지난 10일에는 국내 동영상 재생프로그램 '초코플레이어' 웹 사이트를 통해 메모리 해킹 기법의 악성파일이 유포된 정황이 포착되는 등 애드웨어 서버 해킹을 통한 메모리 해킹용 악성파일 유포가 심각한 수준인 것으로 드러났다.  

잉카인터넷은 15일 메모리 해킹용 악성코드가 국내 애드웨어와 동영상 플레이용 프로그램 등을 통해 유포되고 있다며 사용자들의 주의를 당부했다.

잉카인터넷 대응팀은 "국내 애드웨어 서버를 통해 은밀하게 메모리 해킹용 악성파일을 유포하던 조직들이 유명 유틸리티 프로그램의 서버들도 노리고 있다"며 "해당 악성파일 유포 조직들은 현재 이 시간도 다수의 애드웨어 서버를 통해서 꾸준히 최신 변종 악성파일을 유포하고 있는 상태"라고 밝혔다. 

또 "이들은 이미 지난해 3월 안카메라 서버를 해킹해 온라인 게임 계정탈취 기능의 악성파일을 배포된 바 있다. 최근에는 더 업그레이드된 메모리 해킹 악성코드를 통해 인터넷이용자들의 금융재산을 노리고 있다"고 덧붙였다.

애드웨어를 통한 유포방식은 드라이브 바이 다운로드(Drive By Download) 기법의 보안관제를 우회하기가 좋고, 보안취약점이 존재하지 않아도 된다는 장점이 있다. 때문에 메모리 해킹 조직이 수 개월 이상 집중공격에 이용하고 있으며 매우 다양한 애드웨어가 악용되고 있는 실정이다.

악성파일 유포에 악용된 대표적인 국내 애드웨어는 최근 발견된 초코플레이어외에도 애드갓(adgod), 밀크콘(milkcon), 오픈키워드(openkeyword), 서치라인(search-lines), 윈도가이드(windoguide) 등 다수다. 현재 초코플레이어에서 유포된 메모리 해킹 악성코드는 서버에서 제거된 상태지만 국내 애드웨어 다수가 여전히 서버 해킹 등으로 변조돼 해당 회사도 모르는 사이 메모리 해킹 악성코드를 뿌리고 있다.

잉카인터넷 대응팀은 "PC 이용자들은 우선적으로 감염되어 있는 애드웨어 치료를 적극적으로 수행하여야 한다"며 "개인 블로그나 커뮤니티 등에서는 프로그램 다운로드를 자제하고, 반드시 신뢰할 수 있는 유명 공식사이트를 이용하는 것을 명심해야 한다"고 밝혔다. 또 "가장 최근에 제작되어 사용 중인 악성파일은 국내 시중은행 4곳의 보안카드 입력회수 오류를 사칭하여 이용자의 금융정보 탈취를 시도하고 있어 각별히 주의해야한다"고 당부했다.
 

최근 동영상플레이어 무료 프로그램인 '초코플레이어' 서버가 해킹돼 메모리 해킹용 악성코드가 삽입, 유포되고 있는 정황을 포착했다. 해당 악성코드는 현재 제거된 상태다.