최근 분산서비스거부(DDoS·디도스)공격으로 '디도스 전용백신'이 인터넷 카페나 블로그 등을 통해 유포되는 가운데 일부 백신프로그램이 바이러스 파일로 밝혀져 주의를 요하고 있다.
지난 6일 오후 한 포털사이트 게시판에는 PC보안 프로그램 등을 개발하는 업체인 이스트소프트 '알약'의 디도스 전용백신이라는 파일이 올라왔다. 하지만 해당 프로그램을 실행해도 아무것도 실행되지 않자 의혹을 품은 한 네티즌이 해당 업체에 문의한 결과, 이 파일은 바이러스 파일로 확인됐다.
7일 이스트소프트는 "파일 분석결과 키로깅 및 원격접속이 가능한 백도어 바이러스의 변종인 가짜 전용백신파일"이라고 밝혔다. 키로깅이란 사용자가 입력한 키 입력을 가로채서 저장하는 해킹 기법을 말한다.
이스트소프트는 "알약 DDoS 전용백신으로 위장한 악성코드는 PC 원격제어 및 개인정보 유출을 목적으로 제작된 P해킹전문프로그램으로 생성됐으며, 키로깅 기능과 PC 원격제어를 이용한 개인정보 유출 기능을 활성화시켜 유포했다"고 설명했다.
현재까지 발견된 알약 전용백신 위장 악성코드에서는 C&C 서버의 주소가 잘못 설정 돼 다행히 유출된 패스워드 및 개인정보가 서버까지는 도달하지 못했다. 하지만 향후 다른 추가 변종에서는 이러한 서버 문제가 수정될 가능성도 남아있어 주의가 요구된다.
알약 최신버전은 인터넷 카페나 블로그 등에서 알약 전용백신으로 위장한 악성코드를 내려 받을 때 실시간 감시로 차단하고 있고, 이미 감염된 경우에도 알약으로 치료가 가능하다.
이스트소프트 김준섭 알약개발부문장은 "이번에 발견된 알약 전용백신 위장 악성코드는 3.3 DDoS와 하드디스크 파괴 이슈를 노린 사회공학 기법의 전형적인 악성코드"라며 "알약 전용백신은 카페나 블로그 같은 곳보다 알약 공식 홈페이지에서 다운로드 받아야 안전하게 검사할 수 있다"고 강조했다.
한편 해당파일을 유포한 게시물은 8일 현재 삭제된 상태다.