[보안뉴스 호애진] 산업 제어 시스템 공격을 목표로 하는 스턱스넷의 변종인 ‘Duqu┖가 발견돼 업계에 긴장감이 감돌고 있다.

시만텍은 이 멀웨어가 여러 고객 네트워크에 출현했으며 후속 공격을 위한 데이터 수집 목적으로 이용될 수 있다고 전했다.

시만텍 보안기술대응팀의 보고서에 따르면 W32.Duqu는 10월 14일 처음 확인됐고 유럽 내 여러 기업 네트워크에서 추가적으로 발견됐다.

시만텍이 Duqu가 스턱스넷 2.0이라고 주장하자 업계에선 즉각적인 파장이 일어났다.

이 멀웨어는 과거 스턱스넷에 비해 혁신적이라고 할만한 게 별로 없지만 동일한 제작자에 의해 만들어졌을 가능성이 극히 높은 것으로 추정되고 있다. 그 정도로 Duqu는 스턱스넷 코드의 상당 부분을 공유한다.

Duqu는 스턱스넷과 마찬가지로 모듈 구조이고 서로 비슷한 감염 기제를 이용한다. 핵심적인 드라이버의 하나에 서명하는데 합법적인 인증서를 이용하는 부분도 그러하다.

시만텍은 Duqu가 스턱스넷에서 파생된 듯하지만 그 목적은 다르다고 밝혔다. 산업 제어 시스템을 파괴하는 것이 아니라 후속 공격에 이용할 수 있도록 키스트로크 등의 정보를 수집하는 정보 절취 트로이목마로 보인다는 것이다. Duqu라는 이름은 키 웜 컴포넌트의 파일명 맨 앞에 DQ가 붙어 있는 것에서 유래한다.

Duqu는 4가지 보편적 윈도우 프로세스인 Explorer.exe, IEExplore.exe, Firefox.exe, Pccntmon.exe 중 하나 안으로 숨어 들어간다.

일단 설치되면 정보 탈취 컴포넌트를 다운로드 받아 설치한다. 이 컴포넌트는 감염된 시스템에서 정보를 수집하고 이를 시스템 내에 암호화 파일로 저장했다가 공격자의 시스템으로 내보내기 한다.

Duqu가 수집하는 정보는 실행 프로세스 목록, 계정 및 도메인 정보, 구성 드라이브 및 공유 네트워크 드라이브 목록, 스크린샷, 로컬 파일 및 네트워크 정보, 실행 중인 세션의 스크린샷과 이용자 키스트로크 등이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>