유럽의 엔드포인트 보안 전문 업체 ESET(이셋) 국내 대표 법인 이셋코리아가 한국 TV 콘텐츠를 통해 확산되는 백도어가 발견돼 사용자의 각별한 주의를 요한다고 5일 밝혔다.
이번에 발견된 백도어에 감염된 컴퓨터는 공격자에 의해 원격으로 제어할 수 있게 되는데 ‘GoBot2’라는 공개 백도어에 탐지를 회피하기 위한 내용이 추가된 수정된 버전이다.
GoBot2 백도어는 분실폰 셀카 사진, 음란 동영상 등으로 위장해 많은 사용자들에게 피해를 입힌 것으로 알려져 있다.
이셋은 이번에 발견된 백도어를 Win64/GoBot2의 변형인 GoBotKR로 명명했다. 이셋의 분석에 따르면 GoBotKR은 2018년 3월부터 활동해 왔으며 한국을 비롯해 중국, 대만 등 한류의 인기가 높은 국가에서 많이 발견됐다.
GoBotKR은 한국 영화 및 TV 쇼 게임 등으로 가장해 한국과 중국의 토렌트 사이트를 통해 주로 확산되고 있는데 사용자를 유혹하는 MP4 파일, 다양한 코덱 인스톨러로 위장한 PMA 아카이브 파일에 숨겨진 악성코드, 비디오로 사칭하는 파일 이름과 아이콘을 가진 악의적인 바로가기 링크 파일 등 사용자를 유혹하는 비디오 파일명, 확장자 및 아이콘을 가진 악성 파일을 사용해 사용자가 악성코드를 실행하도록 유도한다.
비디오 파일을 클릭하는 것만으로 악성코드에 감염되지는 않지만 PMA 파일을 실행한다거나 바로가기 링크를 클릭하면 즉시 악성코드에 감염돼 피해가 발생할 수 있다.
이셋코리아 김남욱 대표는 “한류 열풍에 힘 입어 한국 드라마나 쇼 프로그램이 세계적인 인기를 끌고 있음을 이용한 악성코드가 발견됨에 따라 토렌트 등으로 통한 한류 콘텐츠의 다운로드에 각별한 주의가 필요하다. 또 이번에 발견된 악성코드는 공격자의 IP 주소가 블랙리스트에 등록된 몇몇 보안 제품이나 포털을 이용하는 경우 자동으로 실행을 종료함으로써 탐지를 회피하고 있기 때문에 발견이 어려울 수도 있다. 피해를 예방하기 위해서는 적법하지 않은 컨텐츠 다운로드를 자제해야 하며 신뢰할 수 있는 보안 제품을 사용함으로써 악성코드 감염을 사전에 차단해야 한다”고 전했다. [파이낸셜신문=이광재 기자 ]
