‘휴피곤’ 트로이목마는 설치를 담당하는 드롭퍼, 정보를 몰래 빼돌리는 증상의 트로이목마, 드롭퍼와 정보 유출, 은폐 기능이 결합된 트로이목마 등 세 가지 파일로 구성돼 있다. 은폐 기능의 경우 드롭퍼와 트로이목마의 프로세스 및 파일 등을 숨기는 기능으로 감염되어도 사용자가 그 사실을 확인하기가 어렵다.
트로이목마 파일을 설치 및 실행하면 임의의 TCP 포트가 열려 공격자의 접속이 허용된다. 이렇게 되면 PC 사용자가 입력하는 키보드 값이 유출되며, PC에 설치된 운영체계나 하드웨어 등 시스템 정보도 유출된다. 또한 원격 제어 기능까지 있어 공격자가 감염자 PC 내의 프로그램을 마음대로 실행 및 종료할 수 있으며 파일 다운로드, 파일 생성 및 삭제, 레지스트리 수정까지 가능하다. 이 트로이목마는 중국산이며, 전파 또한 중국발 해킹을 당한 웹사이트를 경로로 이루어진다. 이 트로이목마는 소스가 공개돼 변형이 지속적으로 제작되고 있어 현재 전 세계적으로 약 3000개에 달하며 올해 5월까지 국내에서 발견된 것만 49개에 달한다.
안철수연구소 시큐리티대응센터 강은성 상무는 “보안에 취약한 웹사이트를 해킹해 트로이목마를 심어놓는 수법이 많이 이용돼 감염자도 급증하고 있다”며 “웹 관리자는 웹 애플리케이션 보안에 관심을 가져야 하며 PC 사용자는 백신, PC 방화벽 등 보안 제품을 설치해두고 항상 최신 버전으로 유지하는 등의 관리를 해야 안전하다”라고 당부했다. <장윤정 기자>