페이스북·트위터에도 악성코드 출현

소셜 네트워크 서비스(SNS) 이용이 폭발적으로 증가하는 가운데 페이스북과 트위터 등 대표적인 SNS 플랫폼에서 악성코드가 잇따라 발견되고 있다.

17일 안철수연구소 등 보안업계에 따르면 지난 16일 오전 우리나라와 해외 일부 국가에서 유명 SNS 웹 사이트인 페이스북(Facebook)의 사용자 계정 리셋 메일로 위장한 악의적인 메일이 유포됐다.

'Reset your Facebook password'라는 제목으로 유포된 이 메일은 ZIP으로 압축된 악성코드나 메일 본문에 웹 사이트 링크를 제공, 피싱(Phishing) 웹 사이트로 연결하는 기존 악의적인 메일과 달리 HTML 파일이 첨부돼 있다.

해당 HTML 파일은 자바스크립트(JavaScript)로 제작됐으나 인코딩을 통해 난독화돼 있다.

첨부된 facebook_newpass.html을 실행하면 사용하는 웹 브라우저를 통해 성인약품 광고를 하는 웹 사이트로 연결된다.

안철수 연구소는 현재는 성인약품 광고를 위한 스팸 웹 사이트로 연결되지만 공격자의 성향에 따라 ▲취약점을 악용하는 어도비 아크로뱃 리더(Adobe Acrobat Reader) 파일인 PDF ▲개인정보 유출을 노리는 다른 악성코드 감염 ▲사용자 암호를 유출하는 피싱 웹 사이트 연결 등 다양한 방법으로 악용될 가능성이 높다고 분석했다.

페이스북을 사칭해 악의적인 메일이 유포된 사례는 이번이 처음은 아니며 지난 4월에도 페이스북 보안팀으로 위장해 Bredolab 변형을 유포한 사례가 발견됐다.

최근 떠오르고 있는 트위터를 이용해 악의적인 봇넷(botNet)을 구성하거나 허위 백신을 설치하는 악성코드도 나타났다.

이달 초 유럽과 러시아를 포함한 일부 지역에서는 트위터의 사용자 암호를 리셋시킬 수 있다는 메일로 위장해 허위 백신을 설치하는 악성코드가 유포됐다.

'Reset your Twitter password'라는 메일 제목을 사용하고 있는 이 악성코드는 별도의 첨부파일 없이 메일 본문에 특정 웹 사이트로 연결하는 링크가 제공된다.

이를 따라가면 사용자의 동의없이 자동으로 허위 백신이 설치되며 감염된 시스템의 바탕화면에 성인 웹 사이트와 실행 파일 형태의 바로가기 파일 5개를 생성한다.

최근 미국 보안업체 썬벨트(Sunbelt)에서는 트위트를 이용해 봇넷을 구성하고 악의적인 명령을 수행하는 트위터 봇넷 생성기를 발견했다고 밝혔다.

공격자는 트위터 계정을 생성하거나 다른 사람의 계정을 도용해 공격을 준비한다. 사용자에게는 전송한 파일이나 URL 주소를 사회공학적 방법을 이용해 사용자가 클릭하도록 유도하는데, 사용자가 파일을 클릭하는 순간 해당 악성코드에 감염된다.

공격자는 트위터에 공격명령을 트윗하는 것만으로 쉽게 제어할 수 있다.

이에 따라 트위터 봇넷 생성기를 통해 생성된 악성코드들이 타깃트(Targeted) 공격에 이용되거나 취약한 웹 사이트들을 통해 유포될 것으로 추정된다.

일반적으로 봇넷 차단 방법은 봇넷이 이용하는 서버를 차단함으로써 봇넷을 근본적으로 활성화시키지 않는 방법이 사용된다.

그러나 트위터와 같은 상용 서비스를 이용할 경우 일반적인 차단방법을 사용할 수 없어 공격자는 자유럽게 명령을 내보낼 수 있다.

안철수 연구소 관계자는 "트위터 봇넷 생성기와 관련된 허위 트위터 계정들이 다수 존재하고 있는 것으로 미뤄볼 때 해당 트위터 봇넷 생성기들을 이용한 악의적인 공격들이 있을 것으로 추정된다"면서 "트위터와 같은 상용 서비스를 악용하는 봇넷 사례가 증가할 것으로 예상된다"고 밝혔다.