카스퍼스키랩은 PC 버전 텔레그램의 제로데이 취약점을 이용한 신종 악성 코드 공격을 발견했다고 14일 밝혔다.

이 취약점을 통해 다목적 악성 코드가 설치됐으며 PC에 따라 이 악성 코드는 백도어 역할을 하거나 채굴 소프트웨어를 설치하는 도구 역할을 했다는 것. 카스퍼스키랩에 따르면 2017년 3월 이후로 이 취약점은 Monero, Zcash 등 암호화 가상화폐의 채굴 작업에 활용된 것으로 밝혀졌다.

텔레그램 제로데이 취약점은 RLO(Right-to-Left Override) 유니코드 기법을 사용하는 것으로 알려졌다. 이 기법은 아랍어나 히브리어 등 오른쪽에서 왼쪽 방향으로 쓰는 언어를 코딩하는 데 주로 사용되지만 악성코드 개발자들도 사용자들을 속이기 위해 악성 파일을 이미지 파일 등 정상 파일인 것처럼 위장하는 데 이 기법을 사용한다.

공격자가 문자의 순서를 반대로 뒤집는 유니코드 문자를 파일 이름에 숨겨놓기 때문에 파일 이름이 자체적으로 변경되는 것이다. 그 결과 사용자는 숨겨진 악성 코드를 다운로드하게 되며 악성 코드가 컴퓨터에 설치된다. 카스퍼스키랩은 텔레그램에 이 취약점을 보고했고, 보고서 출간 당시에는 이 제로데이 취약점이 메신저에서 관찰되지 않고 있었다.

분석 중에 카스퍼스키랩 연구진은 공격자에 의해 제로데이 익스플로잇이 전개되는 시나리오를 밝혀냈다. 첫 단계로 취약점을 통해 채굴 악성 코드가 설치된다. 이후 취약점을 통해 피해자 PC에 침입한 후 텔레그램 API를 C&C 프로토콜로 사용하는 백도어가 설치된다.

이를 통해 해커는 피해자 컴퓨터에 대한 원격 액세스 권한을 확보하는 것이다. 설치 완료 후 이 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행할 수 있다.

카스퍼스키랩은 이 악성 코드의 배후에는 러시아 지역의 사이버 범죄자가 관련된 것으로 추측했다.

카스퍼스키랩코리아의 이창훈 지사장은 "인스턴트 메신저의 인기가 정말로 높아진 오늘날 사용자들이 범죄자의 타겟이 되지 않도록 보호해야 하는 개발자의 책무 또한 무겁다"며 "이번 제로데이 취약점을 악용하는 다른 방법도 있을 것"이라고 내다봤다.