악성 dll 파일을 삽입시키는 DLL Planting 기법 연이어 발견 파밍 등 전자금융사기 목적...팟플레이어와 작업관리자가 통로     
[보안뉴스 권 준] 최근 다음카카오의 동영상 재생 프로그램인 다음 팟플레이어와 윈도우 OS의 작업관리자 파일을 악용해 악성코드를 유포하는 행위가 포착돼 사용자들의 주의가 요구되고 있다.




이는 지난해 11월에도 등장했던 수법으로, DLL(Dynamic Linking Library) Planting 기법을 이용해서 다음 팟플레이어 사용자 등의 PC에 악성코드를 삽입하는 방식이다. 이 방식은 다음 팟플레이어와 작업관리자 실행파일이 dll 파일을 로딩할 때 악성 dll 파일을 정상적인 dll 파일로 인식시켜 로딩시키는 방법을 의미한다. 

복수의 보안전문가들에 따르면 지난 주말부터 보안이 취약한 웹사이트를 통해 드라이브 바이 다운로드(Drive-by-Download) 방식으로 감염된 악성코드를 자동 실행시키기 위해 정상 다음 팟플레이어 프로그램 또는 작업관리자 실행파일을 악용하고 있는 사례가 발견됐다.

이로 인해 사용자들이 만약 해당 악성코드에 감염될 경우 팟플레이어 프로그램을 악용해 악성 PotPlayer.dll 파일을 로딩시키거나 작업관리자 실행파일을 통해 랭귀지 팩인 ‘lpk.dll’를 PC에 생성시켜 파밍용 악성코드 기능을 수행하는 것으로 알려졌다.

 
여기서 사용되는 lpk.dll 파일명은 원래 정상적인 시스템 파일명인데, 공격자는 이를 악용해 악성파일 이름만 동일한 lpk.dll 파일을 특정경로에 생성시킨다. 이와 함께 만들어둔 중국어 버전의 Task Manager 파일을 이용해서 자동으로 악성 lpk.dll 파일을 로딩하는 기법을 사용했다.


한 보안전문가는 “최근 해커들이 악성코드를 자동으로 실행하기 위한 기법으로 DLL Planting 기법을 적극 활용하고 있는 게  포착되고 있다”며 주의를 당부했다.

그러나 더욱 큰 문제는 해당 악성코드가 사용자 PC에 이미 다운로드된 후에는 다음 팟플레이어 프로그램을 최신 버전으로 업데이트해도 그 피해를 예방할 수 없다는 점이다. 지난 2월 2일 최신 업데이트된 다음 팟플레이어 프로그램에는 팟플레이어 실행시 PotPlayer.dll 파일이 변조됐는지 확인하는 기능이 추가됐지만, 악성 PotPlayer.dll 로딩 기법은 최신 팟플레이어를 설치하는 것과는 상관없이 작동하는 것으로 분석됐다.   
이와 관련해서 또 다른 보안전문가는 “이번에 발견된 기법은 악성코드가 구 버전의 다음 팟플레이어 실행모듈을 함께 설치하고 악용하기 때문에 최신 프로그램 업데이트 여부는 상관이 없다”며, “감염된 상태에서 브라우저를 열면 파밍 팝업을 보여주면서 전자금융사기에 악용되고 있다”고 우려했다.   
 
이번 사건에 대해 다음 팟플레이어 제작사인 다음카카오 측은 “TV 팟 다운로드 링크나 네이버 자료실 등 정상적인 루트로 프로그램을 다운받아 사용하는 이용자는 아무런 문제 없이 안전하게 이용할 수 있다”고 밝혔다.   
 
해커들이 다음 팟플레이어나 작업관리자 실행파일 등을 악용하는 이유는 정상 파일로 위장해 백신 탐지 등을 회피하기 위해서라는 게 보안전문가들의 분석이다. 현재 일부 백신에서 해당 악성코드를 탐지하고 있으므로 이로 인한 피해를 최소화하기 위해서는 백신을 최신 버전으로 업데이트 해야 한다. 이와 함께 웹 브라우저 실행시 금융감독원 등에서 보안관련 인증절차를 진행하고 있다는 내용 등의 팝업이 뜰 경우 100% 전자금융사기로 판단하고, PC 정밀검사와 함께 한국인터넷진흥원(118)이나 금융감독원 등에 신고해줄 것을 보안전문가들은 당부했다.    
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>