23일 보안업계에 따르면 최근 윈도 인스톨러 형식의 악성코드 사례가 증가하고 있어 사용자들의 주의가 요구된다. 윈도 인스톨러는 마이크로소프트(MS) 윈도 운영체제에서 사용하는 표준설치 패키지로 MSI를 확장자로 사용한다.
최근 확산 중인 악성코드는 MSI 파일 내부에 데이터베이스(DB) 테이블로 구성된 설치 지침들과 실행할 응용 프로그램 파일을 포함한 점을 이용한다. 이 방식을 활용하면 기존의 보안제품들을 우회할 수 있다. 주요 감염경로는 이메일에 MSI 패키지 파일을 첨부하거나 문서형 취약점을 이용해 MSI 패키지 파일을 다운, 실행하는 방식이다.
악성코드는 랜섬웨어와 원격제어 두가지 형태를 지닌다. 랜섬웨어 악성코드에 감염되면 PC의 주요 파일이 암호화된다. 원격제어 악성코드에 감염되면 외부에서 사용자의 PC 사용기록을 조회하고 조작할 수 있다.
최상명 하우리 CERT실장은 “이 유형의 악성코드는 지난해 말 등장하기 시작해 최근 급증하고 있다”며 “MSI파일을 실행하기 전에 주의가 필요하며 백신의 실시간 감시기능을 활성화해 감염을 예방해야 한다”고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>