국가사이버안보센터(NCSC) 합동분석협의체는 최근 국가배후 해킹 조직이 한국인터넷진흥원(KISA) 보안업데이트 등 정상 설치 프로그램으로 위장하여 악성코드를 유포하는 정황이 확인되었다고 밝혔습니다.

이번에 확인된 악성 파일은 KISA-Security-Upgrade명으로 유포되었으며, 해당 파일 실행 시 사용자 PC 시작 프로그램에 자동으로 등록되어 PC를 시작할 때마다 자동으로 실행되며,  감염 시스템 정보를 수집하여 공격자 서버로 전송합니다. 

한국인터넷진흥원 보안업데이트 파일 외에도 윈도우 업데이트, 브라우저, 상용 SW설치파일 등을 위장하여 유포될 가능성이 있는 만큼, 사용자 여러분들께서는 공식 홈페이지를 통한 파일 다운로드를 권고드리며, 웹 서핑중 브라우저를 통해 자동으로 다운로드 되는 파일 실행이나 파일 공유 사이트 등의 경로로 파일을 내려받는 것을 지양해 주시기 바랍니다.

이스트시큐리티는 해당 악성 파일의 탐지 기능을 자사 알약(ALYac) 제품에 긴급 업데이트 했으며, 피해 확산 방지를 위해 국가사이버안보협력센터(NCCC)와 한국인터넷진흥원(KISA) 등 관련 부처와 긴밀하게 협력중에 있습니다. 

현재 알약에서는 해당 악성파일에 대해 Trojan.Agent.533504A등으로 탐지중이며, 변종에 대해서도 지속적인 모니터링 중에 있습니다.