개발SW로 위장한 악성코드가 유포됐다. 실수로 내려받아 실행했어도 고급설정에서 옵션을 해제하면 악성코드가 설치되지 않는다. /사진=안랩

소프트웨어(SW) 불법 설치파일로 위장해 정보유출 악성코드를 유포하는 사례가 발견돼 주의가 요구된다. 사용자가 원치 않을 프로그램까지 함께 설치된다.

안랩에 따르면 공격자는 불법 다운로드 사이트 등을 이용해 개발SW의 크랙(Crack)으로 위장한 악성 파일을 유포했다. 크랙은 무단복제나 불법 다운로드 방지 기술이 적용된 상용SW에서 해당 보호 방식을 제거한 상태를 뜻한다.


사용자가 이 악성 파일을 내려받아 실행하면 프로그램 설치 창이 나타난다. 사용자가 ‘다운로드하고 저장’을 누르면 크랙 파일과 함께 악성코드와 ‘가비지 클리너(Garbage Cleaner)’라는 PUP(Potentially Unwanted Program)가 함께 설치된다. PUP는 사용자가 잠재적으로 불편을 느낄 수 있는 기능을 가진 프로그램이다. 의도한 기능 외에 비정상적 동작을 수행하는 경우를 포함한다.

이때 설치 창 오른쪽 하단에 있는 ‘고급설정’ 버튼을 누르면 타 프로그램 추가 설치 여부를 묻는 화면이 나온다. 만약 사용자가 이 화면에서 ‘다운로드를 눌러 G클리너 프로그램 설치를 동의한다’(By clicking ‘Download’ I agree to the Legal Terms, Privacy Policy and consent to install G-Cleaner) 옵션을 해제하면 악성코드와 PUP는 설치되지 않는다.


설치된 정보유출 악성코드는 감염 PC 내 사용자 계정정보를 탈취해 공격자에게 전송한다. 함께 설치된 PUP ‘가비지 클리너’는 사용자 PC의 임시파일을 삭제하는 도구로 유료 라이선스 구입을 지속적으로 유도한다. 현재 안랩 V3는 해당 악성코드를 진단하고 있다.

피해를 예방하기 위해서는 ▲정품 SW·콘텐츠 다운로드 ▲의심되는 웹사이트 방문 자제 ▲OS·인터넷브라우저·응용프로그램·오피스SW 등 프로그램 최신버전 유지 및 보안패치 적용 ▲백신 프로그램 최신버전 유지와 주기적 검사 등 보안수칙을 지켜야 한다.


송태현 안랩 분석팀 주임연구원은 “공격자는 효과적으로 악성코드를 유포하고 사용자 의심을 피하기 위해 정상 프로그램을 함께 설치하는 교묘한 방법을 사용한다”며 “무료로 SW를 사용하려다 불필요한 파일 설치는 물론 악성코드에 감염될 수 있기에 필요한 프로그램은 공식 경로를 이용해 다운로드받는 등 보안수칙을 반드시 준수해야 한다”고 말했다.