이번에 발견된 평창 동계올림픽 사칭 악성코드는 [그림 1]과 같이 올림픽 오륜기 이미지를 아이콘으로 사용하며 OlympicGame.exe 라는 파일명으로 위장했다.

해당 파일을 실행하면 [그림 2]와 같이 평창 동계올림픽을 사칭하는 복권 가입 신청서가 나타나며 사용자의 이름과 이메일 주소를 요구한다. 조금만 자세히 살펴보면 평창 동계올림픽과 전혀 무관한 로고 이미지 등 수상한 점을 발견할 수 있지만, 적지 않은 사용자들이 이를 눈치 채지 못해 낭패를 겪고 있다.

[그림 2]의 입력 상자에 이름과 메일 주소를 입력하고 ‘가입’ 단추를 누르면, 입력된 정보가 공격자에게 전송된다. 만일 전송 과정에서 오류가 발생할 경우 [그림 3]와 같은 응용 프로그램 오류 창이 발생하기도 한다.

OlympicGame.exe는 사용자 정보를 공격자에게 전송할 뿐만 아니라 컴퓨터 내부에서도 악성 행위를 한다. 악성코드 실행 시 임시경로에 추가로 생성된 winupdate.exe 파일은 시작프로그램이나 예약 작업에 악성코드를 등록하여 자동 실행시키는 역할을 한다. 또한 악성 파일은 C&C 서버로부터 추가 악성코드를 내려받는다.

V3 제품군은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- Trojan/Win32.Sysn

- Trojan/Win32.Agent

많은 사람들의 관심이 쏠리는 사회적 혹은 정치적 이슈를 이용해 악성코드 설치를 유도하는 사회공학기법(Social Engineering)은 고전적인 방식이지만, 공격자 입장에서는 여전히 효과가 좋은 공격 방식이다. 평창 동계올림픽은 국가적인 이벤트인 만큼 악성코드 제작자들은 이러한 사회적 분위기를 틈타 평창 동계올림픽 기간 동안 악성코드를 집중적으로 유포할 것으로 예측된다. 평소보다 사용자들의 각별한 조심해야만 한다.

                                                                       AhnLab ASEC대응팀 제공