성인게임 하나 깔았는데…PC가 해커에게 넘어갔다

[서울=뉴시스] 신효령 기자 = #1. 직장인 A씨는 최근 한 웹하드 사이트에서 성인용 게임을 내려받아 실행했다. 그러나 게임 화면이 나타나기도 전에 A씨의 PC에는 악성코드가 설치됐다. A씨가 화면에 집중하는 사이 해커는 원격에서 비밀번호를 빼내고, 웹캠을 통해 그의 일거수일투족을 감시하고 있었다.

최근 국내 웹하드를 통해 성인용 게임으로 위장한 악성코드가 확산돼 사용자들의 각별한 주의가 요구된다. 겉보기에는 정상적인 게임 파일처럼 보이지만, 실행과 동시에 악성코드를 설치해 PC를 감염시키는 방식이다.

안랩 시큐리티 인텔리전스 센터(ASEC)는 "국내 웹하드에서 성인용 게임 파일로 위장해 악성코드를 유포하는 사례가 확인됐다"며 "해당 악성코드는 xRAT(QuasarRAT 계열)로 파악됐다"고 10일 밝혔다.

ASEC 분석 결과, 악성코드 압축 파일을 유포한 웹하드의 다운로드 페이지는 성인 게임으로 교묘하게 위장돼 있었다. 공격자는 해당 게시글 외에도 여러 성인 게임 게시물을 올리며 동일한 악성코드를 유포했을 가능성이 있는 것으로 분석됐다. 다만 관련 게시글들이 모두 삭제돼 추가 확인에는 한계가 있다고 ASEC는 설명했다.

공격자들은 웹하드를 통해 배포되는 성인 게임 파일을 미끼로 삼았다. 사용자가 파일을 내려받아 압축을 풀고 실행 파일을 클릭할 가능성이 높다는 점을 노린 것이다. 파일 이름과 아이콘은 정상 게임과 유사하지만, 실제로는 악성코드가 함께 포함돼 있다.

사용자가 게임 실행 파일을 클릭하면 화면상으로는 게임이 정상적으로 실행되는 것처럼 보인다. 그러나 동시에 백그라운드에서는 악성코드가 설치돼 사용자 몰래 동작을 시작한다. 이번에 발견된 xRAT은 원격 제어 기능을 갖춘 고위험 악성코드로, 감염될 경우 해커가 원격에서 피해자의 PC를 자유롭게 조작할 수 있다.

단순한 악성코드 감염을 넘어 PC 전체가 해커의 원격 조종 대상이 될 수 있다는 점에서 위험성이 크다. 감염된 PC에서는 키보드 입력 내용을 몰래 기록하는 '키로깅' 기능을 통해 아이디·비밀번호 등의 주요 정보가 탈취될 수 있다. 저장된 문서나 사진 등 개인 파일이 외부 서버로 무단 전송될 위험도 있다. 화면 캡처나 웹캠 원격 제어를 통해 사용자의 PC 이용 상황과 사생활이 그대로 노출될 가능성도 배제할 수 없다.

이번 공격에는 보안 프로그램의 감시를 피하기 위한 수법도 사용됐다. 정상 프로그램 파일에 악성 데이터를 일부 섞어 넣는 방식으로, 겉보기에는 문제가 없는 파일처럼 보이도록 설계됐다. 악성코드는 실행 이후 윈도우 작업 스케줄러에 자신을 등록해 PC를 재부팅해도 자동으로 다시 실행된다. 사용자가 인지하지 못한 상태에서 장기간 시스템에 머물며 악성 행위를 이어가도록 한 것이다.

안랩 관계자는 "웹하드 특성상 누구나 파일을 올릴 수 있어 악성코드 유포에 악용되기 쉽다"며 "특히 성인용 콘텐츠나 불법 복제 소프트웨어는 공격자들이 자주 사용하는 미끼다. 피해를 예방하려면 게임과 프로그램은 공식 플랫폼에서만 내려받고, 백신과 운영체제(OS) 보안 업데이트를 항상 최신 상태로 유지해야 한다"고 말했다.

◎공감언론 뉴시스 [email protected]