회사원 A씨는 어느 날 업무용 문서 파일이 여러 개 삭제되는 황당한 경험을 했다. 뿐만 아니라 자신이 실행하지도 않은 프로그램이 실행되거나 중단되기도 했다. 아무래도 이상해 부랴부랴 백신을 설치해 검사해보니 ‘휴피곤’이라는 트로이목마가 진단되었다. 언제 설치됐는지도 모르는 이 악성 코드 때문에 PC의 어떤 정보가 누구에게 새나갔는지 모를 일이어서 불안함을 떨칠 수 없다.

국내 정보보안 기업인 안철수연구소(www.ahnlab.com)에 따르면 이처럼 개인 정보 유출 및 해킹 기능을 가진 ‘휴피곤(Hupigon)’ 트로이목마 시리즈가 5월 들어서만 23종이 국내 발견됐다. 이는 1월부터 4월까지 총 26종, 월 평균 6.5종에 비해 3.5배까지 급증한 수치다. ‘휴피곤’ 트로이목마는 특히 해킹을 당한 웹사이트를 통해 전파되고 있어 사용자가 무심코 웹 서핑을 하다 의식하지 못한 상태에서 설치하는 경우가 많아 각별한 주의가 필요하다.

‘휴피곤’ 트로이목마는 설치를 담당하는 드롭퍼, 정보를 몰래 빼돌리는 증상의 트로이목마, 드롭퍼와 정보 유출, 은폐 기능이 결합된 트로이목마 등 세 가지 파일로 구성돼 있다. 은폐 기능의 경우 드롭퍼와 트로이목마의 프로세스 및 파일 등을 숨기는 기능으로 감염되어도 사용자가 그 사실을 확인하기가 어렵다.

트로이목마 파일을 설치 및 실행하면 임의의 TCP 포트가 열려 공격자의 접속이 허용된다(용어 설명 참고). 이렇게 되면 PC 사용자가 입력하는 키보드 값이 유출되며, PC에 설치된 운영체계나 하드웨어 등 시스템 정보도 유출된다. 또한 원격 제어 기능까지 있어 공격자가 감염자 PC 내의 프로그램을 마음대로 실행 및 종료할 수 있으며 파일 다운로드, 파일 생성 및 삭제, 레지스트리 수정까지 가능하다. 특히 기업에서는 TCP 포트가 많이 오픈될 경우 외부에서 불필요한 접속이 많아지고 이에 따라 네트워크에 과부하가 발생해 인터넷 접속, 이메일 발송 등 네트워크 작동이 느려지거나 심하게는 마비될 수도 있다.

이 트로이목마는 중국산이며, 전파 또한 중국발 해킹을 당한 웹사이트를 경로로 이루어진다. 이 트로이목마는 소스가 공개돼 변형이 지속적으로 제작되고 있어 현재 전세계적으로 약 3000개에 달하며 올해 5월까지 국내에서 발견된 것만 49개에 달한다.

안철수연구소 시큐리티대응센터 강은성 상무는 “보안에 취약한 웹사이트를 해킹해 트로이목마를 심어놓는 수법이 많이 이용돼 감염자도 급증하고 있다. 웹 관리자는 웹 애플리케이션 보안에 관심을 가져야 하며 PC 사용자는 백신, PC 방화벽 등 보안 제품을 설치해두고 항상 최신 버전으로 유지하는 등의 관리를 해야 안전하다.”라고 당부했다.

<용어 설명>--------------------------------------------------------------

(1) 트로이목마(Trojan Horse) :
바이러스나 웜처럼 사용자가 원하지 않는 행위를 하는 프로그램의 일종. 자기 복제는 되지 않지만 정보를 빼내가거나 원격 제어가 가능하게 한다. 사용자가 눈치채지 못하게 몰래 숨어드는 특징이 있어 목마 속에서 나온 그리스 병사들이 트로이를 멸망시킨 것에 비유해 트로이목마라고 부른다. 유용한 프로그램으로 가장해 사용자가 그 프로그램을 실행하도록 속인다.

(2) 드롭퍼(Dropper) :
트로이목마나 웜 등을 설치되게 하는 프로그램

(3) TCP 포트(Transmission Control Protocol Port) :
TCP는 인터넷 아이콘을 누르는 것과 동시에 자동적으로 중앙 컴퓨터 서버와 연결되어 정보를 보내는 쪽과 받는 쪽이 의사소통할 수 있도록 설계된 통신 프로토콜이며, 포트는 데이터를 주고받을 수 있는 통로를 말한다.