이미지 크게 보기

게임핵 파일 사용 설명서에 윈도우디펜더 등 백신 프로그램을 제거하라는 요구가 적혀 있다. /사진=ASEC 홈페이지 캡쳐

"중요, 윈도우 디펜더 끄는 법. (컴퓨터 바이러스 탐지용) 백신을 제거해주셔야 정상적으로 실행됩니다. 핵(Hack) 실행 전 필수 파일 압축 푼 뒤 다 클릭해서 없애주세요."

사용자의 PC 등 기기를 코인 채굴기로 만드는 악성코드를 퍼트리려는 일당들이 배포한 프로그램 사용 설명서 문구다. 게임을 보다 쉽게 플레이할 수 있도록 해주는 프로그램을 일컫는 '게임핵'(Game Hack) 프로그램을 통해 코인 마이너 악성코드가 유포되고 있어 사용자들의 주의가 필요하다는 당부가 제기됐다.

21일 관련 업계에 따르면 ASEC(안랩 시큐리티 대응센터)은 최근 홈페이지를 통해 XMRig 코인 마이너(채굴기)가 게임핵을 통해 유포되는 정황을 확인하고 "출처가 불분명한 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 한다"며 "유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다"고 밝혔다.

ASEC에 따르면 이같은 악성코드가 삽입된 파일은 유명 게임들의 게임핵을 배포하는 사이트를 통해 주로 유포됐다. 윈도우 디펜더(Windows Defender)나 안랩의 V3 등과 같은 백신 프로그램에 의해 악성파일이 차단되는 것을 방지하기 위해 공격자는 백신종료 방법 등을 페이지에 명시하기도 한다. 윈도우 디펜더 관리 프로그램인 'dControl.exe' 등 파일을 통해 사용자가 직접 윈도우 디펜더를 끄도록 유도하기도 한다.

이미지 크게 보기

지난해 1월 한글워드 프로세서 크랙버전으로 위장한 악성코드 배포 게시글. 이 파일을 내려받아 설치할 경우 이용자 PC에 악성코드가 설치된다. / 사진=ASEC 홈페이지 캡쳐

백신기능 제거로 무장해제된 사용자의 PC에는 악성코드가 고스란히 깔린다. ASEC은 "실행된 코인 마이너는 파워쉘을 통해 윈도우 디펜더가 스캔하지 못하도록 하고 윈도우즈 MSRT(악성 소프트웨어 제거 도구)의 업데이트를 비롯해 윈도우 업데이트와 관련한 서비스 등을 제거한다"며 "또 호스트 파일을 수정해 탐지를 우회하기 위한 시도를 수행한다"고 했다.

실제 게임 커뮤니티에서는 해당 프로그램 때문에 PC가 망가져서 컴퓨터를 포맷하고 있다는 등 댓글이 달리기도 했다.

이같은 코인 마이너는 게임핵 외에도 정품 프로그램을 공짜로 쓰기 위한 이들을 노리는 방식으로도 유포된다. 대표적인 게 웹하드, 토렌토 등을 통해 유포되는 각종 '크랙 버전' 프로그램들이다. 크랙(Crack) 프로그램이란 정품 소프트웨어의 복사나 무단 배포 등을 방지하는 기능을 해제하는 프로그램 또는 이 프로그램을 통해 해제된 버전의 소프트웨어를 일컫는다.

지난해 1월 ASEC는 웹하드에서 한글워드 프로세서 크랙버전에서 악성코드를 탐지해 이용자들의 주의를 당부한 바 있다. 2022년 8월에는 역시 웹하드를 통해 성인 게임 또는 게임 크랙 버전 등 불법 프로그램과 함께 악성코드를 유포하는 방식이 확인됐다.