'액티브 엑스' 대신 응용프로그램 업데이트 위장한 신규 금융 악성코드 발견

응용프로그램 설치, 업뎃 해주는 '클릭원스' 방식 악성코드 늘어나

아주경제 장윤정 기자= 악성코드 및 출처를 알 수 없는 감염의 원인으로 지목돼온 엑티브 엑스 대신 응용프로그램을 손쉽게 설치·업데이트해 주는 것처럼 위장해 악성코드를 배포하는 방식의 금융 악성코드가 늘어나고 있다. 

하우리(대표 김희천)는 최근 닷넷 기반 클릭원스 배포 방식을 이용, 설치되는 금융 악성코드가 발견돼 주의가 필요하다고 24일 밝혔다.

해당 악성코드는 파밍 등을 통한 가짜 인터넷뱅킹 사이트에서 인터넷뱅킹 패스워드 암호·복호화 설정을 위해  필요한 보안 프로그램으로 위장,  클릭원스 방식으로 배포된다.

악성코드에 감염될 경우, 특정 서버에 접속해 추가적인 악성코드를 다운로드하며 PC 내의 공인인증서를 압축, 외부 서버로 전송하는 기능이 포함되어 있다.

클릭원스(ClickOnce) 배포방식이란 웹으로부터 응용프로그램을 쉽게 설치·업데이트할 수 있도록 해주는 기술로  닷넷(.NET) 프레임워크 2.0 버전부터 도입됐다. 이는 액티브엑스(ActiveX)와 유사한 방식으로 웹을 통해 프로그램을  설치하는 것이 가능하며 악성코드 유포에 악용된 것이다.

기존에 해커들은 주로 사회공학 기법을 이용하여 악성코드를 설치하기 위해 액티브엑스를 사용했다.

하지만 무분별한 액티브엑스 설치에 대한 위험성이 사용자들에게 어느 정도 인식되자 다소 생소한 클릭원스 배포방식을 이용하여 유포하는 것으로 추정된다.

하지만 닷넷 프레임워크가 설치되지 않은 환경에서는 클릭원스 배포방식으로 악성코드를 설치할 수가 없다.

그러나 최근에는 많은 프로그램들이 닷넷 프레임워크를 필요로 하기에 많은 사용자의 PC에 닷넷 프레임워크가 설치되어 있다.  따라서 악성코드를 배포하는 새로운 사회공학 방식으로 클릭원스 배포방식이 증가할 것으로 예상된다.

최상명 차세대보안연구센터장은 “액티브엑스 대신 클릭원스 배포방식을 이용한 악성코드가 최근 새롭게 등장하고 있다.”라며  “클릭원스를 이용한 프로그램 설치 시 게시자를 확인해 ‘알 수 없는 게시자’와 같이 신뢰할 수 없는 경우에는 설치에 주의가 필요하다”고 밝혔다.
 

클릭원스 배포 방식으로 유포된 금융 악성코드 [사진= 하우리 ]