윈도 인스톨러(MSI) 형식 악성코드 '급증'
2018.02.23 오전 10:22
올해 들어 급증, 보안 제품 우회 목적 …하우리
[아이뉴스24 성지은 기자] 하우리는 최근 '윈도 인스톨러' 형식의 악성코드를 유포하는 사례가 크게 증가하고 있어 사용자들의 주의가 필요하다고 23일 발표했다.

윈도 인스톨러는 마이크로소프트 윈도 운영체제에서 사용하는 표준 설치 패키지로, 윈도 응용 프로그램을 설치하고 구성할 때 사용한다.

윈도 인스톨러는 마이크로소프트 인스톨러(MSI)를 확장자로 사용하며, 파일 내부에 데이터베이스 테이블로 구성된 설치 지침과 실행할 응용 프로그램 파일을 포함하고 있다. 공격자들은 이를 악용해 윈도 인스톨러에 악성코드를 포함시키는 방법으로 기존 보안 제품을 우회해 악성코드를 실행하고 있다.





해커들은 주로 이메일에 윈도 인스톨러 형식인 MSI 패키지 파일을 첨부하거나 문서형 취약점을 이용해 MSI 패키지 파일을 내려받고 실행시키는 방법으로 악성코드에 감염시킨다.

현재 원격제어 악성코드와 랜섬웨어 악성코드 등이 해당 방법으로 유포되고 있다. MSI 패키지 파일로 악성코드를 실행시키는 방법은 흔치 않아 기존 보안 제품들이 탐지하기 어렵다. EXE 등의 실행파일보다 사용자들의 신뢰도가 높기 때문에 쉽게 감염될 수 있어 주의가 필요하다.


최상명 하우리 침해대응(CERT)실장은 "이러한 유형은 작년 말에 등장하기 시작하여 최근에 크게 증가하고 있다"며 "윈도 인스톨러 형식 파일에 대해서도 주의가 필요하며 백신의 실시간 감시 기능을 활성화해 감염을 예방해야 한다"고 조언했다.



/성지은기자 buildcastle@inews24.com