최신 드라마 및 영화를 겨냥하는 RAT 악성코드 출현
불법 토렌트 등 어둠의 경로 통한 영화·드라마 다운로드 지양해야
[보안뉴스 권 준 기자] 무더운 여름날 밤엔 에어콘이나 선풍기를 틀어놓고 영화를 보는 게 최고의 피서다. 이 때문에 많은 사람들이 토렌트 등 어둠의 경로(?)를 통해 영화나 드라마를 다운받아 본다. 그러나 토렌토 등을 통한 다운로드는 엄연한 불법인 데다 보안관리가 허술한 만큼 다운로드를 하려다 악성코드 감염 등의 피해를 입는 경우가 자주 발생한다.
이러한 가운데 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 사용자간 파일 공유프로그램인 토렌트에서 최신 드라마 및 영화로 위장한 RAT(Remote Access Tool: 원격제어 툴) 악성코드가 유포되고 있다고 밝혔다. RAT 악성코드에 감염될 경우 감염된 PC가 해커들의 명령에 따라 수행하는 좀비PC로 전락하고 만다.
이렇듯 해커들이 토렌트를 통해 유통되는 파일에 악성코드를 삽입하는 사례가 증가하고 있으며, 특히 최신 드라마나 영화가 악성코드 유포에 이용되고 있다는 얘기다.
해당 악성코드는 Unicode RLO(right to left override) 방식을 이용해 파일 확장자를 변조하고 있고, 아이콘을 영화의 한 장면으로 설정해서 실제 영화 동영상과 비슷하게 해 일반 사용자들이 악성코드임을 의심하지 못하게 하는 것으로 드러났다.
Unicode RLO 방식이란 오른쪽에서 왼쪽으로 유니코드를 읽게 하는 것으로, 파일명을 동영상 확장자(.MP4, WMV 등)로 보이도록 하고, 국내에서 널리 사용되는 동영상 플레이어와 같은 아이콘을 사용하여 사용자들을 속이고 있다. ‘파일명eXe.mp4’로 유포되지만 사실상 Unicode RLO 기법으로 인해 ‘파일명4pm.exe’가 실행된다는 게 SCH사이버보안연구센터 측의 설명이다. 실행 확장자 exe 이외에 scr 확장자로도 악성코드가 유포되고 있는 것으로 알려졌다.
해당 악성코드는 작업 스케줄러를 통해 자동 실행을 등록하고, 브라우저별 저장된 패스워드 탈취, 키로깅, 웹캠 조작 등의 행위로 사용자 개인정보를 명령제어 서버에 전달한다. 이러한 악성코드의 해쉬값에는 5532a5fd4461c22c226ce2901b4b26b9, 9a06589f8599d878dd9b4b932dd4925f 등이 있다.
이와 관련 순천향대 SCH사이버보안연구센터 김찬진 연구원은 “최신 드라마 및 영화를 겨냥한 RAT 악성코드가 지속적으로 유포되고 있다”며, “악성코드가 실행되는 순간 공격자와 통신해 사용자 개인정보가 실시간으로 탈취된다. 토렌트를 통해 다운로드한 영화나 드라마 또한 안전하지 않으므로 각별한 주의를 기울여야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
불법 토렌트 등 어둠의 경로 통한 영화·드라마 다운로드 지양해야
[보안뉴스 권 준 기자] 무더운 여름날 밤엔 에어콘이나 선풍기를 틀어놓고 영화를 보는 게 최고의 피서다. 이 때문에 많은 사람들이 토렌트 등 어둠의 경로(?)를 통해 영화나 드라마를 다운받아 본다. 그러나 토렌토 등을 통한 다운로드는 엄연한 불법인 데다 보안관리가 허술한 만큼 다운로드를 하려다 악성코드 감염 등의 피해를 입는 경우가 자주 발생한다.
▲ 다양한 인기드라마와 영화가 악성코드로 유포되고 있다[자료=순천향대 SCH사이버보안연구센터]
이러한 가운데 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 최근 사용자간 파일 공유프로그램인 토렌트에서 최신 드라마 및 영화로 위장한 RAT(Remote Access Tool: 원격제어 툴) 악성코드가 유포되고 있다고 밝혔다. RAT 악성코드에 감염될 경우 감염된 PC가 해커들의 명령에 따라 수행하는 좀비PC로 전락하고 만다.
이렇듯 해커들이 토렌트를 통해 유통되는 파일에 악성코드를 삽입하는 사례가 증가하고 있으며, 특히 최신 드라마나 영화가 악성코드 유포에 이용되고 있다는 얘기다.
해당 악성코드는 Unicode RLO(right to left override) 방식을 이용해 파일 확장자를 변조하고 있고, 아이콘을 영화의 한 장면으로 설정해서 실제 영화 동영상과 비슷하게 해 일반 사용자들이 악성코드임을 의심하지 못하게 하는 것으로 드러났다.
▲ 해당 악성코드가 내리는 명령들의 목록[자료=순천향대 SCH사이버보안연구센터]
Unicode RLO 방식이란 오른쪽에서 왼쪽으로 유니코드를 읽게 하는 것으로, 파일명을 동영상 확장자(.MP4, WMV 등)로 보이도록 하고, 국내에서 널리 사용되는 동영상 플레이어와 같은 아이콘을 사용하여 사용자들을 속이고 있다. ‘파일명eXe.mp4’로 유포되지만 사실상 Unicode RLO 기법으로 인해 ‘파일명4pm.exe’가 실행된다는 게 SCH사이버보안연구센터 측의 설명이다. 실행 확장자 exe 이외에 scr 확장자로도 악성코드가 유포되고 있는 것으로 알려졌다.
해당 악성코드는 작업 스케줄러를 통해 자동 실행을 등록하고, 브라우저별 저장된 패스워드 탈취, 키로깅, 웹캠 조작 등의 행위로 사용자 개인정보를 명령제어 서버에 전달한다. 이러한 악성코드의 해쉬값에는 5532a5fd4461c22c226ce2901b4b26b9, 9a06589f8599d878dd9b4b932dd4925f 등이 있다.
이와 관련 순천향대 SCH사이버보안연구센터 김찬진 연구원은 “최신 드라마 및 영화를 겨냥한 RAT 악성코드가 지속적으로 유포되고 있다”며, “악성코드가 실행되는 순간 공격자와 통신해 사용자 개인정보가 실시간으로 탈취된다. 토렌트를 통해 다운로드한 영화나 드라마 또한 안전하지 않으므로 각별한 주의를 기울여야 한다”고 말했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
권준기자 기사보기
[2025-03-06] 
.jpg)
