크라이시스 랩, 인스톨러 발견...듀큐, MS 워드 문서 통해 감염시켜

인터넷에 연결돼 있지 않은 PC도 감염시킬 수 있어

[보안뉴스 호애진] 헝가리의 부다페스트 기술경제대학교 부설보안연구소인 크라이시스 랩(Crysys Lab)은 스턱스넷과 유사한 악성코드인 듀큐(Duqu)의 인스톨러를 찾아냈다. 그리고 이 악성코드가 기존에 알려지지 않은 윈도우 커널의 취약점을 이용한다는 사실을 발견했다.

크라이시스 랩은 “듀큐를 분석한 결과 내부에 MS 제로데이 커널 익스플로잇이 있는 드로퍼 파일(Dropper File)을 확인했다”며 “PC 사용자들의 보호를 위해 관련 정보를 주요 업체들에게 즉시 제공했다”고 밝혔다. 드로퍼 파일이란 사용자 동의 없이 악성 파일을 다운로드 하고 설치 및 실행하는 모듈이다.

시만텍은 크라이시스 랩이 제공한 샘플을 분석한 후 듀큐가 제로데이 윈도우 취약점을 이용, 마이크로소프트 워드 문서(.doc)를 통해 PC를 감염시킨다고 발표하고 마이크로소프트 측에 해당 취약점을 통보했다. 현재 마이크로소프트는 관련 보안 업데이트를 준비 중이다.

그러나 이는 커널 취약점이고 하나의 인스톨러만이 현재까지 발견됐기 때문에 악성 .doc 파일 외의 다른 감염 벡터의 가능성을 배제할 수 없다.

시만텍은 지금까지 이 악성코드와 관련해 다른 흥미로운 사실들 역시 발견했다. 듀큐는 네트워크의 공유 폴더에 자신을 복사해둠으로써 인터넷에 연결돼 있지 않은 PC도 감염시킬 수 있다.

또한 동일 네트워크 내의 다른 감염 시스템으로부터 최신 구성 파일을 다운로드 받는 등 활성화된 인터넷 연결을 감지할 수 없을 때를 대비한 폴백 메커니즘(Fallback Mechanism)이 있다.

이 외에도 듀큐의 C&C 서버가 벨기에에서 새롭게 발견됐다는 점이 주목된다. 원래듀큐의 C&C 서버가 인도에서 발견돼 무력화된 후 최초로 발견된 서버다. 이로 미루어볼 때 이 악성코드를 제어하는 공격자가 현재의 상황을 모니터링하면서 그에 따라 대응하고 있음을 알 수 있다. 현재 이 서버 역시 폐쇄됐다.

현재까지 시만텍은 프랑스, 네덜란드, 스위스, 우크라이나, 인도, 이란, 수단, 베트남에서 듀큐 감염 사례를 파악했으며, 다른 업체들이 추가로 오스트리아, 헝가리, 인도네시아, U.K.에서의 감염 사례를 보고했다. 따라서 이 악성코드는 세계적인 규모로 유포되고 있는 것으로 추정된다.

윤광택 시만텍코리아 이사는 “본인도 모르게 프로그램이 생성되거나 삭제된 경우, 알 수 없는 파일이나 공유 폴더가 생긴 경우, 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우, 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우에는 즉시 악성코드 감염을 의심해봐야 한다”며 “무엇보다 출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>