'불법 음란물' 받았더니 악성코드 '감염'…안랩 "출처주의"

[아이뉴스24 최은정 기자] 최근 게이머 메신저 '디스코드(Discord)'에서 불법 성인물과 함께 원격관리도구(RAT) 악성코드를 유포한 사례가 발견됐다.

RAT에 감염되면 PC 개인정보가 사이버 공격자에게 유출돼 2차 피해가 발생하는 등 악영향을 끼쳐 주의가 필요하다.

안랩 시큐리티대응센터(ASEC)는 지난 21일 공식 웹사이트를 통해 디스코드에서 불법 성인물에 악성코드를 숨겨 유포한 사실을 최근 발견, 이에 따른 사용자 주의를 당부했다.

디스코드는 게임을 하면서 실시간으로 소통할 수 있도록 하는 게이밍에 특화된 채팅 프로그램이다. 텍스트 채팅과 음성·화상 통화를 모두 지원하며, 친목 도모 등 각종 목적으로 활용되기도 한다.

그런데 최근 해당 프로그램이 불법 음란물 공유, 악성코드 유포의 근원지로 악용되고 있는 것으로 나타났다. 불특정 사용자가 채팅방을 만들어 이러한 불법 행위를 저지르고 있는 정황이 나온 것이다.

안랩 측에 따르면 공격자는 채팅방에 '야동 링크.exe'라는 이름의 실행파일을 올리고 이를 다운로드 하도록 사용자를 유도했다. 심지어, 사용자가 직접 백신을 제거하거나 실시간 검사를 해제하도록 요구하기까지 했다.

이재진 안랩 분석팀 연구원은 "채팅봇을 통해 채팅 참가자들에게 '백신을 다 제거후 사용해주세요'라는 내용의 메시지를 자동으로 발송했다"며 "사용자들이 백신 제거, 실시간 검사 해제 등을 실행하도록 공격자가 유도한 것"이라고 설명했다.

만약 사용자가 '야동 링크.exe'를 실행하면 각종 성인물 영상이 저장된 버튼 창이 뜬다. 일부는 불법으로 촬영된 성적 영상도 있는 것으로 알려졌다.

또 동시에 PC에는 RAT 악성코드에 감염되며 이후 명령제어(C&C) 서버와 통신, 공격자의 명령을 받아 악의적인 행위를 이어간다. 여기에는 가령 추가 악성코드 다운로드, 사용자 정보 탈취 등이 포함된다.

특히 첫 악성코드 감염 이후 추가로 다운로드 되는 악성코드는 '앤제이랫(njRAT)'과 '에이싱크랫(AsyncRAT)' 등이 있는 것으로 안랩 측은 분석했다.

안랩은 "njRAT은 국내에서 주로 웹하드나 토렌트를 통해 유포되고 있다"며 "AsyncRAT의 경우 키로깅 및 스크린샷 로깅, 계정 정보 추출 등의 악성 행위를 수행한다"고 강조했다.

다만 현재로선 해당 공격의 배후가 누군지 명확히 알 수 없는 상황이다.

이재진 연구원은 "디스코드에는 채팅방 소유권 이전이라는 기능이 있어서 다른 사람이 채팅방을 개설한 뒤 공격자에게 권한을 넘겨줬을 수도 있는 가능성이 있다"며 "디스코드 서버 기록을 확인해야 공격 배후를 알 수 있어 현재로선 정확하게 알기 힘들다"고 말했다.

그러면서 "불법 동영상들에 대한 공유 등 행위가 불법이라는 것을 숙지해야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 자제해야 한다"고 권고했다.