가짜 로이터 통신… 바이러스 주의

허위 테러 발생 뉴스 악성코드

자료=잉카인터넷 제공

지난 16일부터 ‘Iksmas(일명 Waledac)’ 웜 바이러스 변종들이 ‘특정 지역(가변)에 테러 공격 발생’이라는 가짜 영문 내용을 사용해 전 세계적으로 유포되고 있어 인터넷 사용자들의 각별한 주의가 요망되고 있다.

17일 잉카인터넷 시큐리티 대응센터에 따르면 16일부터 돌고 있는 ‘Iksmas’ 웜 바이러스 변종은 마치 신뢰할 수 있는 로이터 통신사에서 보도한 것처럼 인용한 허위 동영상 화면으로 이루어져 있으며, 인터넷 사용자들을 현혹시킨 후 해당 컴퓨터에 악성코드가 감염되도록 유인하고 있다.

이 악성코드는 최근까지 크리스마스 축하카드와 오바마 미국 대통령, 발렌타인 데이 축하카드, 인터넷 쿠폰 내용 등의 내용처럼 위장해 지속적으로 유포하고 있는 대표적인 종류이다.

그 동안 다양한 이메일l 내용을 사용해 유포하고 있으며, 사용자가 본문에 포함된 링크(Link) 주소를 클릭할 경우 새로운 웹 페이지로 연결이 시도 되는 형태를 사용하고 있다.

이번에 발견된 것은 로이터 통신사 사이트처럼 위장하고 있는 것이 특징이다.

새로 연결되는 웹 페이지의 제목과 본문에는 연결된 인터넷 프로토콜(IP) 주소의 지역을 가변적으로 보여주어, 마치 자신이 있는 지역에서 테러가 발생한 것처럼 오인하도록 만들게 된다.

‘Reuters-Korea, Republic of: Terror attack in Seoul’, ‘Powerful explosion burst in Seoul this morning.’ 등.
동영상 재생기처럼 보여지는 곳은 단순한 그림파일로 클릭하면 악성코드가 다운로드 되도록 연결돼 있으며, 화면 바로 아래에는 재생을 위하여 플래시 플레이어 최신 버전이 필요하다고 유인해 ‘Click here’ 부분에도 악성코드를 링크시켜 두었다.

사용자가 악성코드가 링크된 부분을 클릭하면 다운로드 시도 화면이 보여진다.

iksmas 악성코드는 현재 실시간으로 변종이 유포되고 있으며, 유포 형태(테마)도 위와 같이 지속적으로 변화되고 있다.

잉카인터넷 시큐리티 대응센터 관계자는 “악성코드에 감염될 경우 자신의 컴퓨터가 또 다른 악성코드를 유포하는 파이공유 사이트(P2P) Bot Net 이나 스팸메일 경유지로 악용될 수 있다”며 “이로 인해 개인정보(IP 주소 등)가 외부로 노출되거나 네트워크 속도가 현저하게 느려지는 피해 등이 발생할 수 있기 때문에 각별히 주의해야 한다”고 말했다.

한경닷컴 박세환 기자 greg@hankyung.com