미국서만 360만대의 컴퓨터가 제우스 악성코드에 감염

 

사이버 범죄자들의 입문으로 알려진 악성코드 ‘제우스’가 구글 인스턴트 메시징 프로토콜을 이용해 OTP와 같은 시간을 이용한 보안 기술까지도 우회하고 있어 주의가 요구되고 있다.

 

보안 기업인 RSA에 따르면, 많은 인터넷 뱅킹 계좌 탈취 범죄의 주범으로 보이는 제우스 악성코드가 인증서 관련 파일을 수집하면 해커들에게 즉각 알리는 인스턴트 메신징 기술을 사용하고 있다고 밝혔다. 이 경우, 제우스는 인터넷 뱅킹 이용시 생성되는 OTP(One-Time Passwords)와 같이 시간에 민감한 정보를 더욱 빠르게 탈취할 수 있게 한다.

 

RSA가 발표한 ‘온라인 범죄 리포트’에 따르면, 제우스는 처음으로 인스턴트 메시징을 이용한 악성코드는 아니다. 이미 2008년에 Sinowal라 불리는 또 다른 암호 탈취 악성코드가 2008년에 발견된 바 있다.

 

RSA는 제우스의 여러 변종들이 재버 인스턴트 메시징 모듈을 갖고 있다는 것을 발견했다. 재버는 구글의 G메일 채팅 기능 등에서 사용하고 있는 인스턴트 메시징의 개방형 표준인 XMPP기반 프로토콜이다.

 

해커들은 두 개의 재버 계정에 악성코드를 설치해 한 쪽에서 정보를 보내고 한 쪽에서는 정보를 받게 한다. 제우스가 로그인 권한을 얻게 되면 그 정보를 원격 서버로 보낸다. 그리고 재버 모듈은 특정 금융 기관의 인증 권한을 수집해 그 정보를 인스턴트 메시지로 해커에게 전송한다.

 

보안 기업 Damballa가 지난 8월에 조사한 결과에 따르면 제우스에 감염된 미국 내 컴퓨터는 360만개에 해당된다고 보고하고 있다. 따라서 제우스는 가장 흔히 널린 악성 소프트웨어 프로그램 중의 하나로 매우 큰 봇넷의 일부가 됐다.

 

사용자들이 컴퓨터에 최신 보안 패치를 설치하지 않고 취약점을 통해 악성코드를 전파하는 웹 사이트에 방문했다면 감염됐을 수 있다. 아울러 제우스가 담겨 있는 이메일의 첨부 파일을 열게 되면 의도하지 않게 제우스가 컴퓨터 내에 설치될 수도 있다.

 

한편 제우스는 A-Z라는 이름으로 활동하는 러시안 해커가 만든 것으로 추정되고 있으며, 또 다른 보안 기업인 Secuwork에 따르면 제우스가 사이버 범죄를 일으킬 가능성이 있는 언더그라운드 해커 집단에 팔렸다고 전해진다. 그리고 이 악성코드는 그들이 원하는 대로 변조됐을 것으로 여겨진다.

 

보안업계에서는 제우스가 트로이목마 봇넷의 기본요소를 잘 갖추고 있어 지하세계에 막 입문한 사이버 범죄자들에게 인기 있는 툴킷이 된 것으로 보고 있다.

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>