6.25 사이버 전과 동일조직이 개발한 것으로 의심되는 악성파일 중 일부 파일이 게임방 클라이언트 관리 프로그램을 통해서도 전파된 정황이 포착되었다. 현재 해당 관리 프로그램은 다운로드가 중단된 상태이다. 공격자들은 PC방 컴퓨터들을 상대로 지능적인 공격을 수행한 것이 드러났다. 이번에도 동일하게 업데이트 기능을 악용한 사례로 조사됐다. 해당 프로그램의 개발사는 지난 7월 4일부터 설치파일 다운로드를 중단한 상태다.

 
잉카인터넷 대응팀 관계자는 “PC방 관리용 설치프로그램에는 수정한 날짜가 지난 6월 14일 오전 8시 44분으로 지정된 "Setuplnit.exe" 파일이 포함되어 있다”며 “Setuplnint.exe 파일은 마치 셋업용 초기화 기능처럼 보이도록 파일명이 명명되어 있으며 6월 14일 오전 8시 42분에 제작되었다”고 설명했다.

 
또 “여기서 정상 PC방 관리프로그램의 모듈을 악성파일로 변조하는 시점은 매우 지능적이라 할 수 있다. 대부분의 PC방 업체들은 효율적인 컴퓨터 관리목적으로 특정시점을 지정해 재부팅시 자동으로 초기화하거나 복원되도록 복구시점을 별도로 지정해서 사용한다”며 “복구지점 안에 포함만 되면 악성파일의 생존력은 극대화되고 장기간 잠복 및 침투활동을 연속으로 이어갈 수 있고, 상황에 따라 자동복원되는 불사조 좀비군단으로 활용할 수 있어 심각한 피해를 발생시킬 수 있다”고 전했다.

 
실제 해당 PC방 업체는 6월 13일 오전 10시에 프로그램 업데이트를 공지했고 해당 프로그램은 6월 14일에 악의적으로 변조되었기 때문에 많은 PC방 업체들이 게임관리용 클라이언트 프로그램 교체 작업시점 및 복구지점 범위에 포함되었을 가능성이 높다. 이는 매우 지능적으로 PC방 내부 관리체계를 잘 알고 있었다는 반증이며, 적절한 업데이트 타이밍을 노렸다는 점이 주목된다.

 
잉카인터넷 대응팀 관계자는 “악성파일에 감염된 채 복원시점을 지정한 경우에는 문제가 없는 최신버전으로 반드시 교체하여야 한다”며 “해당 프로그램 개발사에 의하면 7월 08일부터 제공할 예정이라고 공지한 상태”라고 설명했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com