보안성이 높기로 알려진 메신저 텔레그램의 제로데이 취약점을 이용한 신종 악성코드가 나타났다.

카스퍼스키랩은 PC버전 텔레그램 제로데이 취약점을 이용하는 악성코드를 경고했다. 해당 취약점을 이용해 다목적 악성코드가 설치됐다. PC에 따라 백도어 역할을 하거나 가상화폐 채굴 소프트웨어를 설치하는 도구가 된다.

조사 결과 지난해 3월 이후로 해커는 해당 취약점을 '모네로'와 '지캐시' 등 가상화폐 채굴작업에 활용했다. 취약점을 통해 피해자 PC에 침입한 후 텔레그램 API를 명령&제어(C&C) 프로토콜로 사용하는 백도어가 설치된다. 해커는 피해자 컴퓨터에 대한 원격 액세스 권한을 확보했다. 백도어는 은밀히 작동하기 때문에 공격자가 네트워크에 탐지되지 않은 상태로 스파이웨어 설치 등 다양한 명령을 실행한다.

텔레그램 제로데이 취약점은 RLO(Right-to-Left Override) 유니코드 기법을 사용하는 것으로 알려졌다. 이 기법은 아랍어나 히브리어 등 오른쪽에서 왼쪽 방향으로 쓰는 언어를 코딩하는 데 주로 사용되지만 악성코드 개발자들도 사용자를 속이기 위해 악성 파일을 이미지 파일 등 정상 파일인 것처럼 위장하는 데 해당 기법을 사용한다. 공격자가 문자 순서를 반대로 뒤집는 유니코드 문자를 파일 이름에 숨겨놓기 때문에 파일 이름이 자체적으로 변경된다. 사용자는 숨겨진 악성 코드를 내려 받으며 컴퓨터에 설치된다. 카스퍼스키랩은 텔레그램에 취약점을 보고했다. 조사 중에 발견된 증거로 악성코드 배후에는 러시아 지역 사이버 범죄자가 관련된 것으로 보인다.

메신저는 사이버 공격을 받으면 큰 혼란을 초래하는 원인이 된다. 메신저를 이용한 악성코드 감염이 늘고 있다. 카스퍼스키랩이 발간한 보고서에 따르면 왓츠앱 메시지를 가로채는 '스카이고프리' 트로이 목마 등이 있다.

이창훈 카스퍼스키랩코리아 대표는 “메신저가 범죄자 표적이 되지 않도록 보호해야 하는 개발자 책임이 무겁다”면서 “제로데이 취약점을 악용하는 다른 방법도 있을 것”이라고 말했다.

김인순 보안 전문기자 insoon@etnews.com