[보안칼럼] 웹하드 포인트핵의 함정과 좀비PC

비정상적인 프로그램 다운로드하지 말아야

국내 웹하드 업체에서 회원 유치 목적으로 추천인 아이디 제도를 운영하고 있으며 이를 통해 금전적 수익을 목적으로 한 일부 사용자들은 블로그 등 인터넷 게시판을 통해 웹하드 포인트핵이라는 자극적 게시물을 작성하여 추천인 아이디가 포함된 단축 URL 등과 같은 링크를 통해 웹하드 회원으로 가입을 유도하여 금전적 수익을 얻는 것으로 알려져 있다.

그런데 링크 방식이 아닌 인터넷 상에 공공연하게 공개된 파일로 제작된 포인트핵은 사실상 단순 추천인 아이디 가입을 유도하기 위해 사용자 눈을 회피할 목적으로 다양하게 제작되어 회원 가입을 유도하며 일부 파일의 경우 사용자가 어떤 웹하드에 가입하는지조차 쉽게 확인이 불가능하게 구성된 경우도 발견되고 있다.

최근 KBS 신년 다큐를 통해 DDoS의 위험성과 좀비PC 감염에 대한 방송이 이루어지면서 많은 인터넷 사용자들이 자신의 PC가 감염되지 않았을까라는 걱정을 하는데 최근 발견한 웹하드 포인트핵을 통해 좀비PC 감염을 유발하는 사례를 살펴보도록 하겠다.

그림 1. 블로그 유포 모습

참고로 이번 사례에 사용된 포인트핵 첨부 파일은 배포 당시에 국내외 유명 보안 제품에서 트로이목마(Trojan), 백도어(Backdoor) 진단명으로 진단되는 악성 파일이지만 보안 제품의 실시간 감시 미사용 또는 불법적인 파일은 보안 제품에서 진단한다고 생각하는 잘못된 인식을 가진 사용자들은 포인트핵 사용을 목적으로 보안 제품의 진단을 무시할 수 있다.

사용자가 압축 파일 내부에 있는 포인트핵 관련 실행 파일을 해제하여 실행할 경우 설치와 동시에 자가 삭제(Self Delete)하는 일이 발생하며 일반 사용자는 사라진 실행 파일로 인하여 아무런 동작이 없는 파일로 오해를 할 수 있지만 실제로는 다음과 같은 동작이 이루어지고 있다.

그림 2 프로세스 생성 및 통신연결

파일은 시스템 폴더 내에 랜덤(Random)한 6자리 영문으로 구성된 실행 파일(예, rsoksq.exe)을 생성하여 svchost.exe 프로세스의 하위 프로세스로 실행되며 추가적으로 서비스 항목에 등록되어 시스템 시작시마다 자동 실행되어 국내 특정 원격 아이피(IP)와 통신을 시도하고 있다.

서비스에 등록된 rsoksq.exe 파일은 people Command Service 항목(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aszjh)으로 등록되어 접속시마다 연결 IP가 수시로 변경되는 것을 확인할 수 있었다.

그림 3 통신 세부 정보

해당 IP가 연결하는 DNS 정보를 확인해보면 국내에서 제공하는 웹기반 무료 DNS 네임서버로 특정 개인이 원하는 장소(가정집, PC방 등)와 시간대에 손쉽게 감염된 PC를 원격 제어를 통한 악의적 동작 및 개인정보 탈취가 가능하리라 판단된다.

특히 일부 유포자의 경우에는 보안 제품 진단을 우회할 목적으로 배포 파일을 암호화를 통해 국내외 보안 제품에서 진단되지 않도록 하여 배포하는 사례도 있는 것으로 알려져 있으므로 단순히 보안 제품에서 진단하지 않는다는 이유로 함부로 실행하는 일이 없도록 해야 할 것이다.

위와 같은 악성 파일로 사용자 PC가 감염되면 사용자 몰래 PC 사용을 실시간으로 확인하여 민감한 사생활이 노출될 수 있으므로 인터넷 상에서 (비)정상적인 프로그램을 블로그 등과 같은 비정상적인 경로로 다운로드하는 일이 없도록 하는 것이 보안의 중요한 수칙이다.

또한 특정 웹하드 업체에서는 이런 포인트핵과 관련된 문제에 대해 정보를 공개하면 오히려 명예훼손 신고를 통해 글을 차단하고 있으며 웹하드 업체에 실제적인 피해를 주는 포인트핵이 아닌 경우에는 회원 유치에 도움을 준다고 판단하는 현실로 인해 피해자들은 앞으로도 계속 생길 수 있다고 생각한다.

[글 _ 보안컬럼니스트 울지않는 벌새(haslian@naver.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)