보안전문기업 (주)하우리는 지난 8일, 자사 취약점 공격 차단 솔루션인 바이로봇 APT Shield 관제를 통해 윈도우 XP 취약점을 이용해 유포되는 파밍 악성코드 “mbc.exe”를 발견했다고 밝혔다.

▲ 바이로봇 APT Shield 2.0을 통해 mbc.exe 파밍 악성코드가 사전 차단됐다.

 “mbc.exe” 악성코드는 파밍 악성코드로써 감염될 경우 호스트 파일을 변조하여 정상적인 인터넷 뱅킹 및 포털 사이트 접속 시 해커가 만들어놓은 가짜 사이트로 유도하고 금융 개인정보를 절취한다. 이 악성코드는 기존에 “kbs.exe”로 유포되었으나 윈도우 XP 지원이 종료되는 8일을 기점으로 이름이 “mbc.exe”로 변경되어 유포되고 있다.

 해당 악성코드는 윈도우 XP의 웹 브라우저인 인터넷 익스플로러 8 버전의 취약점을 이용하여 유포되며, 취약점 패치를 하지 않은 PC에 사용자가 모르게 저절로 악성코드를 설치한다. 주로 웹하드 및 쇼핑몰 등 사용자가 많이 방문하는 사이트를 통해 유포되며 웹사이트를 접속하는 것만으로 악성코드에 감염되어 피해자가 계속해서 발생하고 있다.

 또한 해당 악성코드는 취약점으로 유포 시 서버사이드 폴리모피즘(Server-side polymorphism) 기법을 사용하여 감염되는 사용자마다 각각 다른 변종의 악성코드가 설치되기 때문에 감염된 사용자의 PC에서 나타나는 악성코드 파일은 전부 다르다. 따라서 해쉬기반 백신의 경우에는 모든 파일을 진단하는 것이 어려우며, 근본적으로 취약점을 해결하는 것이 필요하다.

 윈도우 XP에 대한 지원이 모두 중단된 현 시점에서 윈도우 XP의 웹브라우저인 인터넷 익스플로러 8 버전에 대한 취약점을 해결하는 보안 업데이트도 전부 중단되기 때문에, 새로운 취약점이 발견된다면 사용자들은 무방비 상태로 공격에 노출될 수밖에 없다.

 하우리 최상명 차세대보안연구센터장은 “윈도우 XP에서는 더 이상 인터넷 익스플로러에 대한 지원이 되지 않기 때문에 크롬과 같은 계속 해서 보안 업데이트가 제공되는 다른 웹 브라우저를 사용하는 것이 좋다”라며 “계속해서 XP를 사용할 수밖에 없는 상황이라면 ‘바이로봇 APT Shield’와 같은 무료로 제공되는 취약점 공격 사전 차단 솔루션을 사용하는 것이 최선이다”고 밝혔다.