텔레그램 노리는 사이버 공격 기승

체크포인트, 원격접근트로이목마 톡시아이 발견 보고

(지디넷코리아=남혁우 기자)보안을 강조한 메시징앱 텔레그램의 시스템을 제어해 개인정보를 노리는 악성코드가 발견됐다.

23일(현지시간) 미국 지디넷에 따르면 사이버보안기업 체크포인트는 텔레그램을 악용하는 원격접근트로이목마(RAT) 톡시아이(ToxicEye)를 발견했다고 보고했다.

톡시아이는 텔레그램에서 지원하는 봇을 악용한 것으로 나타났다. 텔레그램 봇은 미리알림, 검색, 명령 실행 및 투표 시작 등 다양한 기능을 지원한다.

텔레그램 취약점을 노린 악성코드 톡시아이(이미지=체크포인트)

공격자는 텔레그램봇과 악성코드를 결합해 스팸 메일 등으로 배포한다. 피해자가 스팸메일에 포함된 첨부파일을 열면, 악성코드는 설치된 텔레그램에 연결한 후 시스템을 장악한다.

시스템을 장악한 악성코드는 자격증명, OS데이터, 브라우저 기록 등 개인데이터를 검색하고 훔칠 수 있다. 피해자를 협박하기 위해 파일을 암호화하는 랜섬웨어 기능도 확인됐다.

체크포인트에 따르면 최근 텔레그램을 노리는 사이버 공격이 늘고 있다. 기업용 안티바이러스 엔진이나 네트워크 관리도구에 차단되지 않는 경우가 많고, 휴대전화 번호만으로 가입할 수 있어 공격자의 익명을 유지할 수 있기 때문이다

또한 텔레그램의 고유한 통신 기능은 피해자의 PC에서 데이터를 쉽게 유출할 수 있고, 모바일 기기로 지역제한 없이 감염된 PC에 접근할 수 있다.

연구원들은 지난 3개월 동안 톡시아이를 사용하는 사이버 공격을 130번 이상 목격했다고 통해 밝혔다.

체크포인트는 PC내에 톡시아이(ToxicEye)라는 폴더가 생성되고 rat.exe라는 파일이 발견됐다면 즉시 삭제하고, 피싱 메일을 자동 차단하는 솔루션을 도입할 것을 권고했다.

체크포인트 연구원은 “트로이목마는 원격관리도구, 교육용 앱 등으로 위장하니 주의하길 바란다”며 “텔레그램을 악용해 악성코드를 배포하거나 원격제어가 가능한 것이 확인되면서 이를 이용하려는 사례가 늘 전망이니 주의해야 한다”고 말했다.

남혁우 기자(firstblood@zdnet.co.kr)