[디지털데일리 이종현기자] 코로나바이러스감염증-19(코로나19) 공포가 확산되는 상황에서 이를 악용해 악성코드가 유포되고 있다.
이스트시큐리티는 ‘코로나19 실시간 현황’ 조회 프로그램으로 위장한 악성코드가 발견됐다고 25일 밝혔다.
새롭게 발견된 악성코드는 ‘코로나 국내 현황’, ‘국내 코로나 실시간 현황’ 등의 파일명을 사용하는 실행 프로그램(EXE) 형태다. 파일을 실행하면 변종에 따라 ‘실시간 코로나19 현황’이라는 제목의 팝업창이 나타난다.
팝업창에는 실제 코로나바이러스감염증-19(코로나19) 감염 현황을 보여주는 것처럼 확진환자, 격리해제(완치), 사망자, 검사중 등 4개 항목과 그에 따른 숫자 정보가 나타난다.
이 과정에서 해당 악성 프로그램은 사용자 몰래 PC 임시 폴더에 또 다른 악성코드를 자동으로 설치한다. 이 악성코드는 실제 악성 행위를 수행하는 기능을 가지고 있으며 감염되면 사용자 PC는 ▲원격제어 ▲키로깅 ▲화면 캡처 ▲추가 악성코드 설치 ▲정보 탈취 등 공격에 노출된다.
이스티시큐리티 시큐리티대응센터(ESRC)는 새롭게 발견된 악성 프로그램이 사전 테스트 목적으로 제작되고 있으며 본격적으로 유포되지는 않은 것으로 진단했다. 팝업창의 4개 숫자 정보 모두 100으로 처리돼 있고 데다 명령제어서버(C2)가 사설 IP 주소인 데다 이스트시큐리티의 공개용 백신 알약에 보고된 감염 사례가 없기 때문이다.
하지만 해당 프로그램을 본격적으로 활용할 경우 피해는 커질 수 있다. 100으로 고정돼 있는 숫자를 실제 수치처럼 변경하거나 질병관리본부 등의 데이터와 일치시키는 것은 기술적으로 어렵지 않기 때문이다.
문종현 ESRC 센터장은 “최근 사이버 공격은 사회적 관심이 높은 사안을 악용해 사용자 심리를 노리는 공격 수법을 사용하고 있다. 코로나19 경우도 감염 확산 초기인 지난 1월 하순부터 코로나(우한 폐렴) 키워드를 악용한 스팸 문자, 피싱 메일 등이 지속적으로 발견되고 있다”며 “코로나와 관련한 정보는 질병관리본부 공식 홈페이지 등 출처를 신뢰할 수 있는 곳에서 확인하는 것을 권장한다”고 당부했다.