KISA-Security-Upgrade 이름으로 유포...시스템 정보 공격자 서버로 전송

[보안뉴스 김영명 기자] 국가사이버안보센터(National Cyber Security Center, NCSC) 합동분석협의체는 최근 국가배후 해킹조직이 한국인터넷진흥원(KISA) 보안업데이트 등 정상 설치 프로그램으로 위장해 악성코드를 유포하는 정황이 확인됐다고 밝혔다.


▲KISA 보안 업데이트 파일로 위장해 유포 중인 악성코드 설치화면[자료=이스트시큐리티]

이스트시큐리티 시큐리티대응센터(ESRC)의 분석에 따르면, 이번에 확인된 악성 파일은 ‘KISA-Security-Upgrade’라는 이름으로 유포됐다. 해당 파일을 실행하면 사용자 PC의 시작 프로그램에 자동으로 등록돼 PC를 시작할 때마다 자동으로 실행되며, 감염 시스템 정보를 수집해 공격자 서버로 전송한다.

해당 해킹조직은 KISA 보안 업데이트 파일 외에도 마이크로소프트 윈도 업데이트, 브라우저, 상용 소프트웨어 설치 파일 등으로 위장해 악성코드를 유포할 가능성이 있다. 따라서, 사용자는 특정 설치 파일을 다운로드할 때는 공식 홈페이지를 통해 다운로드해야 하며, 웹 서핑 중 브라우저를 통해 자동으로 다운로드 되는 파일 실행이나 파일 공유 사이트 등의 경로로 파일을 내려받는 것을 지양해야 한다.

이스트시큐리티 ESRC 관계자는 “해당 악성 파일의 탐지 기능을 알약 제품에 긴급 업데이트했으며, 피해 확산 방지를 위해 NCSC와 KISA 등 관련 부처와 긴밀하게 협력 중에 있다”며 “현재 알약에서는 해당 악성파일에 대해 Trojan.Agent.533504A 등으로 탐지 중이며, 변종에 대해서도 지속적인 모니터링 중에 있다”고 밝혔다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>