멀웨어(Malware, 악성코드) 중에서 CHM 악성코드란 HTML 형식의 도움말 파일을 말한다. CHM 악성코드는 인포스틸러형 악성코드로 HTML 파일 내부에 악의적인 스크립트 코드를 삽입해 공격하는 것을 말한다. CHM은 HTML 형식의 도움말 파일이다.
CHM 악성코드의 전파 유형은 먼저 도움말 창을 생성한 뒤 악성 스크립트를 실행하는 방식으로 이뤄진다. 정상적인 빈 도움말 창을 생성하게 되는데, 도움말 창 내용은 사용자에 따라 위장할 수 있다. 그다음으로 악성 스크립트를 실행, 악성행위를 수행한다.
최근 CHM 악성코드가 발견된 것은 2023년 5월 종합소득세 신고 기간에 ‘국세청 세무조사 신고 안내문’으로 위장해 전파된 사례가 있기도 하다.
CHM 악성코드는 사용자의 시스템 화면에 정상적인 이미지와 텍스트를 함께 보여주며, 사용자가 악의적인 공격을 인지하기 어려운 수준으로 위장해 유포하고 있다. 만약 기업체에서 CHM 악성코드에 감염되는 경우, 사용자의 정보 탈취에 따른 손해, 자산 손실 등의 위협에 노출될 수 있어 주의해야 한다.
주요 CHM 악성코드 유포 사례를 보면 주로 남아시아 정부기관을 대상으로 하는 해킹그룹인 비터(Bitter, T-APYT-17)가 있다. 비터 해킹그룹이 유포한 CHM 파일을 실행하면 대부분은 빈 도움말 창을 생성하지만, 일부는 ‘중국중앙통일전선부’ 및 ‘중국러시아 평화 개발 위원회’ 등과 관련된 내용을 확인할 수 있다.
비터 해킹그룹의 주요 악성코드 유포 과정을 살펴보면, 바로가기 객체를 실행하는 Click 매서드 스크립트 난독화 → 스크립트 동작 → 악성 명령어 실행 → 특정 주소 접근 → 추가 악성 파일 실행 등으로 진행된다.
스카크러프트(SCARCRUFT) 악성코드는 RAR 형식으로 압축해 유포돼 파일을 실행할 때 국내 금융 기업과 보험사를 사칭한 ‘카드 이용한도’, ‘보험료 출금결과’, ‘은행 상품 계약 내용’ 등의 안내문이 뜬다.
스카크러프트 악성코드는 기존 악성 CHM 내 스크립트와 알리 Object 태그가 있어 명령어가 바로 실행되지 않는다. 이 악성코드는 문자열을 조합하고, innerHTML 속성을 통해 특정 id 영역에 삽입돼 실행되는 과정을 거친다.
악성코드 감염을 예방하는 가장 기본적인 방법은 ①메일의 수신자를 상세하게 확인 후 출처가 불분명한 파일의 경우 열람을 자제하고 ②주기적인 PC 점검 및 최신버전으로 제품을 유지하며 ③신뢰할 수 없는 페이지에서 파일의 다운로드 금지 등이 있다.
[제작=서울여자대학교 정보보호학과 제20대 학생회 플레이스]
