요약 : 보안 외신 블리핑컴퓨터에 의하면 롬콤(RomCom)이라는 멀웨어의 새로운 변종이 나타났다고 한다. 이름은 스닙봇(SnipBot)으로, 이미 데이터 탈취 공격에 활발히 사용되는 중이다. 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 발견해 추적하고 있는데, 아직까지 특정 분야나 지역을 노린다기 보다 광범위한 영역에 걸쳐 공격을 펼치고 있는 것으로 보인다고 한다. 스닙봇은 27개의 명령을 실행할 수 있으며, 운영자는 이를 통해 공격을 세밀하게 진행할 수 있게 된다. 즉 피해 케이스마다 공격의 방법이나 절차가 조금씩 다른데, 시작에서만큼은 대부분 피싱 이메일이 활용되는 것으로 분석됐다.


배경 : 롬콤은 백도어의 일종으로 과거 쿠바(Cuba)라는 랜섬웨어를 퍼트리는 데 주로 활용됐다. 계속해서 발전해 와 롬콤 4.0까지 등장한 바 있다. 4.0 버전의 경우 2023년 후반부에 나왔는데, 그 후에는 별다른 소식이 없었다. 그러다가 이번에 스닙봇이 발견된 것으로, 보안 전문가들에 따라 롬콤 5.0으로 부르기도 한다.

말말말 : “과거 롬콤은 쿠바를 퍼트린다는 분명한 목적을 가지고 있었습니다. 이번 스닙봇의 경우 아직 공격자의 최종 목표를 알 수 없습니다. 즉 어떤 공격으로 둔갑해도 이상하지 않은 상황이라는 뜻입니다.” -팔로알토네트웍스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>