하우리(대표 김희천 www.hauri.co.kr)가 지난 8일 자사 취약점 공격 차단 솔루션인 바이로봇 APT 쉴드(Shield) 관제를 통해 윈도XP 취약점을 이용해 유포되는 파밍 악성코드 ‘mbc.exe’를 발견했다고 밝혔다.

mbc.exe 악성코드는 파밍 악성코드로써 감염될 경우 호스트 파일을 변조해 정상적인 인터넷 뱅킹 및 포털 사이트 접속시 해커가 만들어놓은 가짜 사이트로 유도하고 금융 개인정보를 절취한다.

이 악성코드는 기존에 ‘kbs.exe’로 유포됐으나 윈도XP 지원이 종료되는 8일을 기점으로 이름이 ‘mbc.exe’로 변경돼 유포되고 있다.

해당 악성코드는 윈도XP의 웹 브라우저인 인터넷 익스플로러8 버전의 취약점을 이용해 유포되며 취약점 패치를 하지 않은 PC에 사용자가 모르게 저절로 악성코드를 설치한다. 주로 웹하드 및 쇼핑몰 등 사용자가 많이 방문하는 사이트를 통해 유포되며 웹사이트를 접속하는 것만으로 악성코드에 감염돼 피해자가 계속해서 발생하고 있다.

또한 해당 악성코드는 취약점으로 유포시 서버사이드 폴리모피즘(Server-side polymorphism) 기법을 사용해 감염되는 사용자마다 각각 다른 변종의 악성코드가 설치되기 때문에 감염된 사용자의 PC에서 나타나는 악성코드 파일은 전부 달라 해쉬 기반 백신의 경우에는 모든 파일을 진단하는 것이 어렵고 근본적으로 취약점을 해결하는 것이 필요하다고 하우리는 강조했다.

하우리는 윈도XP에 대한 지원이 모두 중단된 현 시점에서 윈도XP의 웹브라우저인 인터넷익스플로러8 버전에 대한 취약점을 해결하는 보안 업데이트도 전부 중단되기 때문에 새로운 취약점이 발견된다면 사용자들은 무방비 상태로 공격에 노출될 수밖에 없다고 설명했다.

최상명 하우리 차세대보안연구센터장은 “윈도XP에서는 더 이상 인터넷익스플로러에 대한 지원이 되지 않기 때문에 크롬과 같은 계속해서 보안 업데이트가 제공되는 다른 웹 브라우저를 사용하는 것이 좋다”며 “계속해서 XP를 사용할 수밖에 없는 상황이라면 ‘바이로봇 APT 쉴드’와 같은 무료로 제공되는 취약점 공격 사전 차단 솔루션을 사용하는 것이 최선”이라고 밝혔다.