최근 닷넷기반 클릭원스 배포 방식을 이용해 설치되는 금융 악성코드가 발견되어 이용자들의 각별한 주의가 요구된다.
 
하우리에 따르면, “해당 악성코드는 파밍 등을 통한 가짜 인터넷뱅킹 사이트에서 인터넷뱅킹 패스워드 암/복호화 설정을 위해 필요한 보안 프로그램으로 위장해 클릭원스 방식으로 배포되었다”며 “악성코드에 감염될 경우 특정 서버에 접속해 추가적인 악성코드를 다운로드하며 PC 내의 공인인증서를 압축해 외부 서버로 전송하는 기능이 포함되어 있다”고 설명했다.

 
클릭원스(ClickOnce) 배포방식이란, 웹으로부터 응용프로그램을 쉽게 설치 및 업데이트가 가능하도록 해주는 기술로 닷넷(.NET) 프레임워크 2.0 버전부터 도입되었다. 이는 엑티브X(ActiveX)와 유사한 방식으로 웹을 통해 프로그램을 설치하는 것이 가능하며 악성코드 유포에 악용된 것이다.
 
기존에 해커들은 주로 사회공학 기법을 이용해 악성코드를 설치하기 위해 엑티브X를 사용했다. 하지만 무분별한 엑티브X 설치에 대한 위험성이 사용자들에게 어느 정도 인식되자 다소 생소한 클릭원스 배포방식을 이용해 유포하는 것이다.
 
하지만 닷넷 프레임워크가 설치되지 않은 환경에서는 클릭원스 배포방식으로 악성코드를 설치할 수가 없다. 그러나 최근에는 많은 프로그램들이 닷넷 프레임워크를 필요로 하기에 많은 사용자의 PC에 닷넷 프레임워크가 설치되어 있다. 따라서 악성코드를 배포하는 새로운 사회공학 방식으로 클릭원스 배포방식이 증가할 것으로 예상된다.
 
최상명 차세대보안연구센터장은 “엑티브X 대신 클릭원스 배포방식을 이용한 악성코드가 최근 새롭게 등장하고 있다”며 “클릭원스를 이용한 프로그램 설치 시 게시자를 확인해 ‘알 수 없는 게시자’와 같이 신뢰할 수 없는 경우에는 설치에 주의해야 한다”고 당부했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com