국내 최대 사용자 수를 가지고 있는 고클린(GoClean) PC 최적화 프로그램이 최근 해킹되어 업데이트 서버를 통해 파밍(Pharming) 악성코드를 유포한 것으로 확인돼 이용자들의 각별한 주의가 요구된다.
 
고클린은 해당 해킹건과 관련해 1차 해킹(2015년 10월 22일 오후 6시~8시), 2차 해킹(2015년 10월 23일 오후 3시~4시)을 통해 인터넷뱅킹 정보를 수집하는 파밍(Pharming) 악성코드 유포건에 대해 이용자들에게 사과공지를 발표했다.

 
보안블로그 울지않는 벌새 측은 “공개된 정보를 참고해 감염 방식을 살펴보면 특정 시간대에 고클린 프로그램을 실행할 경우 고클린 업그레이드 알림창을 생성해 확인 버튼을 클릭하도록 유도하고 사용자가 확인 버튼을 클릭할 경우 고클린 업데이트 서버에 등록된 구성값이 변조되어 외부 서버에서 파일을 다운로드 및 자동 실행되도록 구성되어 있다”고 설명했다.
 
업데이트 서버에 등록된 정보를 확인해보면 실제 고클린 1.4.5 버전 관련 구성 요소가 모두 포함되어 있으며, 이 중에서 주목할 파일은 GoClean.exe, ReadMe.txt 2개의 파일이다.
 
다운로드된 파일들은 기존의 고클린 1.4.4 최신 버전을 패치하며 ReadMe.txt 파일은 GoClean.exe 파일로 변경될 것으로 추정되며, 해당 파일은 고클린 프로그램에서 사용하는 "Irongate Inc" 디지털 서명을 차용하고 있다.
 
업데이트가 완료된 후 사용자가 고클린 프로그램을 실행할 경우 "고클린(GoClean) 버전 1.4.5"로 표시되는 형태로 프로그램이 동작하는 것을 알 수 있다. 하지만 고클린 1.4.5 버전은 실제로는 존재하지 않는다. 이러한 허위 업그레이드 과정에서 사용자 몰래 다음과 같은 파밍(Pharming) 악성코드를 감염을 진행한다.
 
고클린 업데이트 기능을 통해 확인된 악성코드는 2종으로 확인되고 있으며, 유포 직전 중국에서 안랩(AhnLab) V3 보안 제품을 대상으로 테스트를 진행한 것으로 추정된다.
 
공격이 이루어진 경우, 국내 금융 사이트, 포털 사이트, 로또 관련 사이트, 인터넷 쇼핑몰 사이트에 접속시 "107.163.159.225 / 23.231.144.50" IP 서버로 연결되도록 구성되어 있다.
 
이를 통해 사용자가 웹 브라우저를 이용해 포털 사이트를 접속할 경우 금융감독원 팝업창이 생성되어 다양한 금융 사이트로 접속하도록 유도하는 모습을 확인할 수 있다. 사용자가 유효한 주민등록번호를 입력해 정보를 입력한다면 휴대폰 번호, 아이디(ID), 비밀번호, 이체 비밀번호, 인증서 비밀번호, 보안카드 일련번호, 보안카드 전체 번호가 유출될 수 있어 위험한 상황이다. 보안카드가 아닌 OTP 사용자의 경우에도 일회용 비밀번호를 요구하는 부분도 확인할 수 있다.
 
해당 파밍 악성코드에 감염된 경우 정상적인 rundll32.exe 프로세스를 활용하여 악성 DLL 파일을 로딩하는 구조다. 윈도우 작업 관리자를 실행해 메모리에 상주하는 rundll32.exe 프로세스가 존재할 경우 종료해야 한다”며 “이후 C 또는 D 루트 드라이브에 숨김(H) 속성값을 가진 폴더 중 랜덤한 이름을 가진 폴더를 찾아 내부에 악성 파일(DLL 파일)이 존재한다면 폴더 자체를 삭제하고 악성 파일 여부는 멀웨어스닷컴(malwares.com) 등 서비스에 파일을 업로드해 확인하면 된다.
 
울지않는 벌새 측은 “이번 고클린(GoClean) 프로그램의 업데이트 기능을 통해 악성코드를 유포 행위는 대규모 사용자를 보유하고 있는 프고그램 업데이트 서버 관리가 그동안 부실하게 이루어지고 있었던 것으로 보인다”며 “최근에 고클린 업그레이드 창이 생성된 사용자의 경우에는 반드시 백신 프로그램을 이용한 정밀 검사를 해야 한다”고 권고했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com