캡챠(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Apart)는 ‘자동화된 사람과 컴퓨터 판별 기술’이라는 의미다. 웹 서비스에 접근한 사용자가 실제 사람인지 또는 컴퓨터 프로그램, 이른바 봇(Bot)에 의한 접근 시도인지 확인하기 위해 사용한다.

국내에서는 “보안숫자(또는 그림문자)를 입력하세요.”라는 메시지와 함께 일그러진 숫자와 글자를 보여준 후 사용자로 하여금 해당 숫자와 글자를 입력하게 하는 방식이 대부분이다. 소셜미디어(SNS) 등의 서비스에서는 무작위의 그림을 보여준 후 특정 질문에 해당되는 그림을 고르게 하는 방식도 있다.

이번에 발견된 캡챠로 위장한 악성코드는 누리편지(이메일) 첨부 파일을 통해 유포되었다. 이메일에 첨부된 PDF 파일을 열면 [그림 1]과 같이 봇 여부를 묻는 캡챠 이미지가 나타난다.

정상적인 캡차일 때 메시지의 체크 박스를 누르면(클릭) [그림 2]와 같이 무작위의 그림과 질문이 나타난다. 그러나 이 악성코드는 체크 박스를 누르면 특정 URL에 접속해 악성코드를 내려받는다.

내려받게 되는 악성 파일은 ‘.7z’ 확장자를 가진 압축 파일이다. 이 파일은 특정한 인터넷 주소(URL)에 접근해 컴퓨터의 특정 자리에 악성코드를 내려받게 하고 이를 실행시킨다.

V3 제품군에서는 해당 캡챠 악성코드를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Trojan/Win32.Dridex

VBS/Agent

PDF/Phishing

많은 사용자들이 웹 서비스 이용 중에 종종 캡챠를 만나게 되기 때문에 별 다른 의심 없이 캡챠의 메시지를 따르게 된다. 따라서 평소 자주 이용하는 웹 서비스가 아니거나 이번 사례처럼 누리편지 첨부 파일과 같이 일반적인 캡챠 방식이 아니라면 각별히 주의하는 것이 바람직하다.

                                                                              AhnLab ASEC대응팀 제공