순천향대 사이버보안연구센터, 국산 오피스 설치파일 위장한 RAT 악성코드 발견
사용자 행동 모니터링, 키로깅 기능, 웹캠 활성화 및 녹화 등 사생활 감시까지

[시큐리티월드 권 준 기자] 최근 국산 오피스 설치파일로 위장한 원격제어 악성코드(RAT: Remote Access Trojan, 이하 RAT 악성코드)가 토렌트 사이트를 통해 유포되고 있는 것으로 알려졌다.

토렌트는 하나의 파일을 여러 조각으로 네트워크 상의 여러 사용자 컴퓨터에 분산해 보관하고, 여러 곳의 컴퓨터에서 동시에 조각 파일을 가져와 결합해 하나의 파일을 복구하는 방식으로 작동하는 파일 공유 프로그램을 지칭한다. 주로 영화나 음악 등의 파일을 개인 사용자 간에 공유하는데 많이 사용된다.

국산 오피스 제품은 국내에서 제작되어 주로 사용되는 소프트웨어로서, 국산 오피스 설치 파일로 위장한 것을 보면 공격 대상이 국내 사용자로 추정된다.


위 그림의 SETUP.exe는 악성코드이며, 샘플의 MD5 값은 acc65d9d3d1f41c615a16748f0b50438 이며, 한글 오피스 설치파일로 위장하고 있다.

순천향대 사이버보안연구센터(센터장, 정보보호학과 염흥열 교수)에 따르면 RAT 악성코드에는 피해자 컴퓨터를 원격으로 제어하는 백도어가 포함되어 있으며, 일반적으로 사용자가 설치를 원하는 프로그램 속에 숨어서 사용자 모르게 배포되거나 전자 메일의 첨부파일 형태로 배포되어 설치된다.

센터에서 발견한 RAT 악성코드는 사용자 행동 모니터링, 키로깅(Keylogging), 웹캠 활성화 및 녹화, 파일 제어 등의 악성 행위를 수행하며, 실행중인 프로그램으로 나타나지 않도록 컴퓨터의 작업 목록에 나타나지 않도록 은닉하므로 탐지가 매우 어렵다. 특히, 키로깅은 사용자가 키보드로 컴퓨터에 입력하는 내용을 몰래 가로채어 기록하는 행위를 말하는데, 주로 사용자의 금융 사이트 패스워드 등을 노린다.

센터의 장성욱 연구원은 “RAT 악성코드가 국산 오피스 설치 파일로 위장하여 국내 인터넷 서비스 사용자를 위협하고 있다”라며, “토렌트 파일을 의심 없이 실행한다면 원격제어 악성코드에 감염의 위험이 매우 크므로, 출처를 알 수 없는 파일을 실행하기 전에 백신을 이용해 해당 파일을 검사하는 것을 권장한다”고 말했다.
[글 시큐리티월드 권 준 기자(editor@boannews.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>