가짜 곰플레이어 악성코드 주의

악성 크롬 확장 설치

곰플레이어 설치 파일로 보이는 Gom player.exe가 악성코드를 설치하고 있다. 자동으로 하는 것은 아니고, 사용자의 선택에 따라 공식 크롬 스토어에서 Tampermonkey라는 크롬 확장 프로그램(Chrome extensions)을 설치한다.

이 사실은 크롬과 같은 Chromium 기반의 브라우저인 Opera에서 Tampermonkey를 차단함으로써 알려졌다. 오페라 측은 탬퍼멍키가 확장 프로그램에 허용된 범주 이상의 행동을 보여서 악의적인 것으로 판단했다.

Tampermonkey 자체가 악성코드에 감염된 것인지, 단순히 곰플레이어에 의해 이용당한 것인지는 확실하지 않다. 뒤의 경우라면 탬퍼멍키로선 억울할 수도 있다. Powershell을 이용한 악성코드가 많아도 파워셸을 악성코드라고 차단하지는 않기 때문이다. 어떤 경우이든, 탬퍼멍키는 스크립트를 다루는 도구이므로 악용되기 쉽다.

문제의 곰플레이어 설치 파일은 2018.7.11일 Virus Total에 올라왔는데, 60%가 넘는 백신이 악성코드로 진단하고 있다. 그러나 유명 프로그램을 사칭한 경우에는, 백신이 경고를 내보내도 오진으로 생각하여 무시하는 경우도 있어 피해 발생 가능성은 있다.

이 악성 파일은 곰플레이어를 사칭한 가짜일 가능성이 크지만, 정상 곰플레이어 설치 파일일 수도 있다. 무료 프로그램에 번들로 제공되는 프로그램이 악성코드로 밝혀지는 사례는 꾸준히 발생하고 있다. 무료 프로그램 설치 시에는 기본 옵션을 그냥 사용하지 말고, 꼼꼼히 살펴야 한다.

Windows 10에서는 마이크로소프트 스토어 앱을 사용하는 게 졸다. 스토어 앱이 마땅한 게 없어 데스크톱 프로그램을 사용하려면, 개발사의 공식 사이트에서 다운로드하는 게 제일 좋다. 차선으로는 Cnet download나 네이버 자료실 같이 비교적 관리가 잘 되는 자료실을 이용하는 것이다.


참고 자료
  1. Opera Blacklists Tampermonkey Extension Being Installed by Malware
  2. Virus Total 검사 결과 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다