보안전문기업 하우리(대표 김희천 www.hauri.co.kr)는 12월 19일 제 18대 대통령선거를 앞두고 국민들의 관심이 집중되고 있는 가운데, 이를 이용한 악성코드가 추가 발견되었다고 밝혔다.

 
지난 주 해킹 메일 중에는 ‘핵심공약.hwp’, ‘현안대응.hwp’ 이라는 대선과 관련된 내용의 한글 악성문서가 첨부파일로 배포되어 사용자가 해당 문서를 열람하는 순간, 악성코드에 감염되는 정황도 포착이 되었다.
(www.hauri.co.kr/customer/security/colum_view.html?intSeq=155&page=1&keyfield=&key=)
 
이번에 발견된 “한반도 신뢰 프로세스.hwp” 는 특정 대선 후보의 공약을 이용하여 한글 문서화한 후 악성코드를 삽입하여 제작되었으며, 수신인의 호기심을 자극하여 감염이 쉬우며, 감염 사실을 PC 사용자가 알기 어려워 피해 사용자가 많을 것으로 추정된다.
 
해당 한글 악성문서를 열람하면, 사용자들 모르게 백그라운드로 다음과 같은 경로에 악성파일을 생성한다.

?C:WINDOWSsystem32ms[랜덤5자리].dll  : 중복감염 확인, 악성파일 생성
?C:WindowsHelpWindows_sru.chq  : 시스템 정보 및 사용자 계정 기록
?C:Documents and SettingsAdministratorLocal SettingsTemp[랜덤6자리].tmp : 수집된 정보 파일 전송
 
생성된 악성코드는 다음과 같은 사용자 정보 및 시스템 정보를 수집한다.

▷ 컴퓨터 정보(OS 정보, CPU 정보)
▷ 사용자 계정 이름
▷ 특정 확장자 리스트(exe, dll, hwp, pdf, docx 등)
 
수집된 정보는 암호화 파일(windows_sru.chq)로 메일에 첨부되며, ‘이상엽(dltkdduq****@korea.com)’ 이라는 계정을 사용해 악성코드 제작자에게 발송된다.

 
하우리 보안대응센터 김정수 센터장은 “최근 미국 대통령 선거(11.6)를 앞두고 이와 관련된 PC 악성코드와 스팸, 스마트폰 악성 앱들이 지속적으로 발견되고 있다. 국내 대통령 선거(12.9) 또한 국민들의 관심이 집중되고 있는 가운데 이를 이용한 악성코드는 추가적으로 발견될 가능성이 많다”며 “PC 사용자들은 메일에 첨부된 파일을 열람하기 전, 발신인을 재 확인하고, 백신 프로그램의 실시간 감시기를 활성화하는 것이 중요하며, 수신된 웹 링크는 함부로 클릭하지 않아야 한다. 또한, 취약점 패치 및 모바일?PC 백신 업데이트, 웹사이트 관리 및 점검 등 기본적인 시스템 보안에 더욱더 주의를 기울여야 할 때”라고 말했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com