불법 다운로드 윈도우 키 관리 서비스(KMS) 주의해야
무료 이용자 노리고 KMS에 악성코드 심어
무료 이용자 노리고 KMS에 악성코드 심어
■공짜 윈도우 다운로드 주의보
18일 관련 업계에 따르면 국내 파일공유사이트 일부에서 KMS에 숨겨진 악성코드가 속속 발견되고 있는 것으로 나타났다. KMS는 온라인에서 불법 다운로드 등 비정상적인 경로를 통해 내려받은 윈도우를 정상 작동시키기 위한 일종의 사설 인증키다. 안랩 관계자는 "KMS는 불법 사이트에서 구한 윈도우를 인증받기 위한 도구"라며 "불법 사이트를 통해서 유통되고 있다"고 말했다.
특히 이번에 유포되고 있는 악성코드는 이전에도 마이크로소프트(MS) 오피스 설치 프로그램으로 위장해 유포된 사례가 있다. 사용자들이 즐겨 사용하는 소프트웨어(SW)에 대한 수요가 많기 때문에 감염 성공률 또한 높다는 설명이다. 8월 현재 해당 악성코드는 윈도우 정품인증을 위한 KMS로 위장해 압축 파일 형태로 파일 공유사이트에 올라와 있다.
안랩에 따르면 내려받은 압축 파일을 풀면 'KMS Tools Unpack.exe'라는 파일로 위장한 악성코드가 나온다.
일반적인 설치 형태의 악성코드들과 달리 이 프로그램은 내부에 원본 악성코드가 존재하는 것이 아니라 실제 KMS 툴만 존재한다. 대신 설치 과정에서 악의적인 명령들을 실행하면서 추가 악성코드를 설치한다. 이같은 악의적인 명령들은 윈도우의 방어체계가 악성코드를 검사하지 않도록 설치 경로에 예외를 두도록 하는 명령과 추가 악성코드를 내려받아 실행하는 명령 등 총 2가지다.
■정보유출, 암호화폐 등 피해
또 해당 악성코드는 사용자 환경에 V3 백신이 설치된 경우와 그렇지 않을 경우에 따라 구분해 설치된다는 특징이 있다.
V3가 존재하지 않는 환경에서 설치된 악성코드는 정상 프로세스로 위장한다. 이 때 설치되는 악성코드는 공격자에게 프로세스·서비스·파일 작업 등을 비롯해 원격 제어 기능을 제공한다. 감염 PC의 다양한 정보를 유출하고, 암호화폐 채굴 등의 피해도 입힌다. V3가 설치된 환경에서는 코인 채굴기가 설치된다. 이 채굴기 역시 정상 프로그램의 메모리 상에서 작동하기 때문에 채굴로 인해 컴퓨터가 느려지더라도 사용자는 인지하기 어렵다.
악성코드가 감염된 컴퓨터에는 실제 KMS로 추정되는 'KMS_Tool.msi' 파일이 설치된다. 실제 KMS가 설치되지 않다고 하더라도 사용자가 실행했던 'KMS Tools Unpack.exe' 파일이 삭제되고 동일한 아이콘을 갖는 KMS가 'KMSTools.exe'라는 이름으로 생성된다. 이에 따라 사용자는 새롭게 생성된 KMS로 윈도우를 인증할 수 있어 악성코드에 감염된 사실을 알기 힘들다.
이밖에 악성코드는 텔레그램 애플리케이션 프로그램 인터페이스(API)를 이용해 여러 정보를 탈취한 후 자가 삭제하는 기능도 갖췄다. 안랩 관계자는 "자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 한다"며 "유틸리티, 게임 등의 프로그램은 반드시 공식 홈페이지에서 내려받아야 한다"고 당부했다.
km@fnnews.com 김경민 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지