하우리(대표 김희천)는 최근 닷넷 기반 클릭원스 배포 방식을 이용, 설치되는 금융 악성코드가 발견돼 주의가 필요하다고 24일 밝혔다.
해당 악성코드는 파밍 등을 통한 가짜 인터넷뱅킹 사이트에서 인터넷뱅킹 패스워드 암호·복호화 설정을 위해 필요한 보안 프로그램으로 위장, 클릭원스 방식으로 배포된다.
악성코드에 감염될 경우, 특정 서버에 접속해 추가적인 악성코드를 다운로드하며 PC 내의 공인인증서를 압축, 외부 서버로 전송하는 기능이 포함되어 있다.
기존에 해커들은 주로 사회공학 기법을 이용하여 악성코드를 설치하기 위해 액티브엑스를 사용했다.
하지만 무분별한 액티브엑스 설치에 대한 위험성이 사용자들에게 어느 정도 인식되자 다소 생소한 클릭원스 배포방식을 이용하여 유포하는 것으로 추정된다.
하지만 닷넷 프레임워크가 설치되지 않은 환경에서는 클릭원스 배포방식으로 악성코드를 설치할 수가 없다.
그러나 최근에는 많은 프로그램들이 닷넷 프레임워크를 필요로 하기에 많은 사용자의 PC에 닷넷 프레임워크가 설치되어 있다. 따라서 악성코드를 배포하는 새로운 사회공학 방식으로 클릭원스 배포방식이 증가할 것으로 예상된다.
최상명 차세대보안연구센터장은 “액티브엑스 대신 클릭원스 배포방식을 이용한 악성코드가 최근 새롭게 등장하고 있다.”라며 “클릭원스를 이용한 프로그램 설치 시 게시자를 확인해 ‘알 수 없는 게시자’와 같이 신뢰할 수 없는 경우에는 설치에 주의가 필요하다”고 밝혔다.