• 페이스북
  • 트위터
  • 유튜브

윈도 몰래 쓸려다가 낭패…인증키 위장한 악성코드 주의보

등록 2022.08.18 06:10:00

  • 이메일 보내기
  • 프린터
  • PDF

불법 경로 이용해 내려받은 윈도 작동위해서는 키 관리 서비스(KMS) 필요

KMS 필요로 하는 이용자 노리고 위장한 악성파일 확산

감염되면 컴퓨터 정보 등 탈취 후 자가 삭제하는 특징 갖고 있어

안랩 “프로그램은 반드시 공식 홈페이지 통해 이용해야” 당부

안랩에 따르면 국내 파일공유 사이트 일부에서 KMS에 숨겨진 악성코드 사례가 발견되고 있다. 사진은 해당 악성코드로 위장한 파일이 올라와있는 국내 커뮤니티 사이트. (사진=안랩 제공) *재판매 및 DB 금지

안랩에 따르면 국내 파일공유 사이트 일부에서 KMS에 숨겨진 악성코드 사례가 발견되고 있다. 사진은 해당 악성코드로 위장한 파일이 올라와있는 국내 커뮤니티 사이트. (사진=안랩 제공) *재판매 및 DB 금지



[서울=뉴시스]송종호 기자 = 최근 윈도 정품인증 툴인 키 관리 서비스(KMS)로 위장한 악성코드가 파일 공유사이트를 통해 유포되고 있어 각별한 주의가 요구된다.

18일 안랩에 따르면 국내 파일공유사이트 일부에서 KMS에 숨겨진 악성코드가 속속 발견되고 있다.

KMS는 온라인에서 불법 다운로드 등 비정상적인 경로를 통해 내려받은 윈도를 정상 작동시키기 위한 일종의 사설 인증키다. 안랩 관계자는 “KMS는 불법 사이트에서 구한 윈도를 인증받기 위한 도구”라며 “불법 사이트를 통해서 유통되고 있다”고 말했다.

이번에 유포되고 있는 악성코드는 이전에도 MS 오피스 설치 프로그램으로 위장해 유포된 사례가 있다. 그만큼 감염 성공률이 높아 공격자들이 즐겨 사용한다는 의미다.

8월 현재 해당 악성코드는 윈도 정품인증을 위한 KMS로 위장해, 압축 파일 형태로 파일 공유사이트에 올라와 있다.

안랩에 따르면 내려받은 압축 파일을 풀면 ‘KMS Tools Unpack.exe’라는 파일로 위장한 악성코드가 나온다.

일반적인 설치 형태의 악성코드들과 달리 이 프로그램은 내부에 원본 악성코드가 존재하는 것이 아니라 실제 KMS 툴만 존재한다. 대신 설치 과정에서 악의적인 명령들을 실행하면서 추가 악성코드를 설치한다. 이 악의적인 명령들은 윈도의 방어체계가 악성코드를 검사하지 않도록 설치 경로에 예외를 두도록 하는 명령과 추가 악성코드를 내려받아 실행하는 명령 등 총 2가지다.

해당 악성코드는 또 다른 특징이 있다. 사용자 환경에 V3 백신이 설치된 경우와 그렇지 않을 경우에 따라 설치하는 악성코드가 다르다는 점이다.

V3가 존재하지 않는 환경에서 설치된 악성코드는 정상 프로세스로 위장한다. 이때 설치되는 악성코드는  공격자에게 프로세스·서비스·파일 작업 등을 비롯해 원격 제어 기능을 제공한다. 또 다양한 정보를 유출하고, 암호화폐 채굴 등의 피해를 입힌다.

V3가 설치된 환경에서는 코인 채굴기가 설치된다. 이 채굴기 또한 정상 프로그램의 메모리 상에서 작동하기 때문에 채굴로 인해 컴퓨터가 느려지더라도 사용자는 인지하기 어려울 수 있다.

악성코드가 감염된 컴퓨터에는 실제 KMS로 추정되는 ‘KMS_Tool.msi’ 파일이 설치된다. 실제 KMS가 설치되지 않다고 하더라도 사용자가 실행했던 ‘KMS Tools Unpack.exe’ 파일이 삭제되고 동일한 아이콘을 갖는 KMS가 ‘KMSTools.exe’라는 이름으로 생성된다. 이에 따라 사용자는 새롭게 생성된 KMS로 윈도를 인증할 수 있어 악성코드에 감염된 사실을 알기 어렵다.

이어 악성코드는 텔레그램 애플리케이션 프로그램 인터페이스(API)를 이용해 여러 정보를 탈취한 후 자가 삭제한다.

안랩 관계자는 “자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 한다”라며 “유틸리티, 게임 등의 프로그램은 반드시 공식 홈페이지에서 내려받아야 한다”고 당부했다.


◎공감언론 뉴시스 [email protected]

많이 본 기사