윈도우 정품인증 툴로 위장한 악성코드 사례

제가 학생이었던 10년 전쯤에는 P2P와 같은 파일 공유 사이트를 상당히 많이 이용했었던 것 같습니다. 사실 인터넷에 떠돌아다니는 자료 외에도 저작권과 같이 법적으로 공유하면 안되는 프로그램을 싸고 쉽게 구할 수 있다는 생각에 저도 꽤 많이 이용했었죠. 지금은 직장인이기에 필요한 프로그램이 있으면 돈을 주고 사서 쓰지만, 그 보다도 파일 공유 사이트에는 악성코드로 위장한 프로그램들이 워낙 많이 떠돌아 다니기에 어느 순간부터 자연스럽게 사용하지 않았던 것 같기도 합니다. 지금도 파일 공유 사이트를 사용하는 분들이 있을거라 생각하는데, 경각심을 가지실 수 있도록 오늘은 파일 공유 사이트에서 윈도우 정품인증 툴로 위장한 악성코드 사례에 대해서 살펴보도록 하죠.

​

파일 공유 사이트에서 보통 많이 찾는 것은 보통 돈을 주고 라이센스를 구입해야 하는 프로그램이 아닐까 싶습니다. 게임과 같은 패키지 파일부터 시작해서 오늘 말씀드릴 정품 인증 툴과 같은 프로그램 말이죠. 이전에도 한번 소개드렸지만 크랙이라고 부르는 해적판은 프로그램의 라이센스 인증 알고리즘을 우회하여 정품 인증이 된 것으로 속이거나 인증 창이 뜨지 않도록 만든 경우가 많습니다. 이 때 리버싱이라는 기술을 사용하기도 하는데 문제는 대부분 프로그램이 실행파일인 EXE 파일이기 때문에, 중간에 악성 로직을 넣어놓는다던지 악성코드 자체를 정상 파일인 것처럼 위장한다는 점입니다.

​

실제로 대부분 랜섬웨어나 원격 제어 역할을 하는 악성코드를 정상 프로그램인 척 위장하여 파일 공유 사이트에 올려 놓거나, 정상 프로그램에 악성 행위 로직을 추가하여 사용자가 모르게 백그라운드에서 악성 행위를 하는 경우도 있죠. 이번 윈도우 정품인증 툴로 위장한 악성코드의 경우 압축 파일로 업로드 되었는데, 사용자가 ZIP 파일을 풀고 EXE 파일을 실행하는 경우 개인정보가 탈취된다고 합니다. 이에 대한 자세한 정보가 공개되진 않았지만, 사용자 계정을 탈취하기 위해 키로깅을 이용하거나, 공인인증서가 저장된 경우 해커의 서버로 전송한다던지 등의 행위를 하는 것으로 보입니다.

 

불법 윈도우 정품인증 툴 받았다간 개인정보 탈취당한다!

물론 위와 같이 압축파일로 악성코드가 한 번 더 압축되어있다고 해도, 백신이 실행되어 있고 악성코드 DB에 등록이 되어 있다면 압축을 푸는 순간 백신에서 잡아낼 수 있을 겁니다. 하지만 백신 엔진 업데이트를 하지 않아서 악성코드 DB에 등록되지 않았다던지, 기존 백신 엔진을 우회할 수 있는 로직이 추가되었다면 사용자가 그대로 악성코드를 실행 할 수 있겠죠. 웬만해서는 백신만 믿지 말고 파일 공유 사이트나 토렌트와 같은 곳에서 이러한 프로그램을 다운 받는 것을 자제하시고 상용 프로그램의 라이센스를 사서 이용하는 것이 좋을 것 같습니다. 오늘은 여기까지 말씀드리도록 하죠. 읽어주셔서 감사합니다.