윈도 '파워쉘' 이용한 악성코드 유포 주의보
2016.02.24 09:26:58
[미디어잇 노동균] 하우리(대표 김희천)는 최근 국내에 파워쉘(Powershell)을 이용한 악성코드의 유포가 지속적으로 증가하고 있어 인터넷 이용자들의 각별한 주의가 요구된다고 밝혔다.
파워쉘은 윈도 7 이상 버전에서 기본적으로 탑재돼 있는 쉘 프로그램이다. 일반적인 쉘 프로그램과 다른 점은 닷넷(.NET) 계열의 스크립트를 실행시킬 수 있으며, 그만큼 강력한 기능을 가지고 있어 시스템의 관리자가 유용하게 사용할 수 있다.
이러한 강력한 기능 때문에 익스플로잇 킷과 결합해 악성코드를 다운로드 및 실행하는 방법으로 간단한 스크립트 명령을 이용한 파워쉘이 이용되고 있다는 것이 회사 측의 설명이다. 파워쉘을 이용한 악성코드 유포 기법은 국내에 지난해 5월 처음 등장한 이후 최근까지 크게 증가하고 있는 추세다.
하우리에 따르면, 국내에서 파워쉘을 이용해 감염되고 있는 악성코드의 상당수는 랜섬웨어인 것으로 분석된다. 랜섬웨어에 감염됐을 경우 많은 종류의 문서파일을 암호화하고 금전을 요구하며, 암호화된 문서파일은 금전을 지불하지 않으면 일반적인 방법으로는 복구하기 어렵다.
최상명 하우리 CERT실장은 “강력한 파워쉘의 기능 때문에 기존의 단순 다운로드 쉘코드를 대체한 악성코드 다운로드 공격이 계속 증가하고 있다”며 “파워쉘이 꼭 필요한 경우가 아닌 경우 파워쉘에 대한 실행 통제를 통해 악성코드 감염 피해를 최소화할 수 있다”고 말했다.
노동균 기자 saferoh@chosunbiz.com