최근 트로잔이 시만택, 맥아피, 아마존, 시스코, 뱅크오브어메리카 등 유명 기업체들도 포함된 FTP 정보 약 88,000건을 탈취한 것으로 드러나 충격을 주고 있다. 또한 이 트로잔은 최근 유명세를 얻고 있는 Z봇(ZBot)의 변종으로 확인됐다.

보안 업체 Prevx의 보안 연구자들이 지난 6월 29일(현지 시간) 아침, 고유 FTP 서버 로그인을 수집하고 현재 도메인을 타겟으로 삼아 악성 스크립트를 손상된 FTP 사이트에 삽입하고 있는 새로운 트로잔을 발견했다고 밝혔다. 특히 이 손상된 FTP 사이트들 중에는 유명 보안업체 시만텍, 맥아피를 비롯해 뱅크오브어메리카(Bank of America), 아마존닷컴(Amazon.com) 등 주요 기업들의 도난당한 FTP 기밀정보의 캐시가 포함되어 있는 것으로 알려졌다.

Prevx에 따르면 이 업체 연구자들이 맬웨어가 웹 서버에 데이터를 발송하고 있던 것을 발견, 해당 URL을 방문해 암호화되지 않은 FTP 로그인 캐시를 확인했다. 또한 컴퓨터가 감염되면 트로이 목마가 모든 FTP 상세 정보를 수집하는데, 특히 이러한 감염은 랜덤으로 발생하고 있으며 다양한 방법으로 2년 전부터 증가하고 있는 것으로 나타났다고 Prevx는 설명했다.

특히 트로이목마는 평범한 텍스트 안에 업로드된 FTP 정보를 수신하는 것으로 알려진 Z봇(ZBot)의 변종으로 알려졌다. 최근 Z봇 트로잔은 마이크로소프트 아웃룩의 중요 업데이트로 위장한 이메일 스팸을 통해 전파되고 있는데, Z봇은 이용자의 시스템을 이용해 ‘.bin’ 파일을 다운로드 할 수 있는 웹사이트에 접속해 자체 업데이트 복제본을 다운로드 하거나 탈취한 데이터를 전송한다.

이에 Prevx측은 발견한 데이터를 US-CERT에 전달하는 한편 일반인들이나 기업 직원들이 그들의 FTP 로그인 정보가 탈취되었는지 확인할 수 있도록 웹 페이지www.prevx.com/ftplogons.asp를 마련했다고 전했다.

그러나 Prevx의 선임연구원 쟈크 에라스무스(Jacques Erasmus)는 “이 리스트의 규모가 엄청나기 때문에 적절한 시간 내에 리스트에 포함된 업체들에게 이를 효과적으로 알려줄 수 있는 방법은 현재 없다”면서 아울러 “2, 3일 내로 맬웨어의 의해 더욱 증가할 것으로 짐작하고 있다”고 덧붙였다.

한편, 이번에 Prevx가 발견한 FTP 정보 유출 기업 중 하나로 알려진 시만텍은 관련 보도가 이어지자 성명을 통해 “즉시 포괄적인 테스트를 수행했으며 자사 FTP 서버들이 맬웨어에 감염되지 않았음을 확인했다”며 우려를 진화하는 한편 “정기적으로 자사 인프라스트럭처의 보안을 확인하기 위한 프로세스와 절차가 마련되어있다”고 강조했다.

[김동빈 기자(foreign@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>