공인인증서 탈취 악성코드 주의보

[김국배기자] 안랩(대표 김홍선)은 7일 공인인증서 탈취 기능을 가진 악성코드를 발견했다고 밝히고 이용자 주의를 당부했다.

이번 악성코드는 사용자가 알지 못하는 사이에 악성 콘텐츠를 PC로 다운로드하는 '드라이브 바이 다운로드' 방식으로 악성코드가 포함된 웹사이트에 접속하면 자동으로 PC에 다운로드 된다.

이후 악성코드는 자동으로 PC 내 저장된 공인인증서를 검색해 파일전송 프로토콜(File Transfer Protocol, FTP)를 통해 공격자에게 전달한다. 특히 이 악성코드는 공인인증서를 빼낼 뿐 아니라 실제 공인인증서 사용화면과 구분이 어려울 정도로 유사한 화면으로 공인인증서 비밀번호까지 탈취를 시도한다.

가짜 공인인증서 관리프로그램은 실제 화면과 매우 유사하게 구성돼 있지만 자세히 보면 입력 창과 커서가 하나씩 더 있다. 사용자가 입력한 비밀번호는 PC의 고유주소인 맥주소(MAC address)와 함께 미국에 위치한 서버로 전송된다.

안랩 시큐리티대응센터 이호웅 센터장은 "웹사이트를 방문만 해도 감염될 수 있는 방식은 개인PC 사용이 증가하는 주말에 주로 활용된다"며 "사용자들은 백신 업데이트와 공인인증서 별도 보관 등 기본적인 보안수칙을 지키는 것이 매우 중요하다"고 말했다.

김국배 기자의 다른 기사 보기

• 안랩 "업데이트 서버 아닌 자산관리 서버 계정 탈취"

• 안랩, 3·20 공격 흔적 추적 예방하는 프로그램 제공