카스퍼스키랩의 드미트리 베스투체프(Dmitry Bestuzhev)는 브라질에서는 처음으로 뱅킹 트로이목마에 블록 암호가 사용된 사례를 발견하고 보고했다.

베스투체프는 의심스럽고 악성으로 보이는 브라질 출처의 링크를 분석하던 중 자신이 Trojan-Banker.Win32.Delf.vh로 규명한 일단의 파일을 발견했다. 파일에는 암호화된 악성코드가 포함돼 있었고 분석 결과 해당 악성코드가 블록 암호를 사용한다는 사실을 알게 됐다.

블록 암호란 대칭키(symmetric encryption key)와 고정 길이의 비트 집합을 이용해 데이터를 암·복호화하는 데이터 암호화 기법의 일종이다. 악성코드 실행 파일의 내용을 블록 암호로 암호화하면 악성코드 검출 및 분석 시스템이 제대로 작동하지 않을 수 있다.

다시 말해 블록 암호로 암호화된 악성 링크는 다운로드 돼 분석되더라도 악성으로 판정되지 않을 수 있다는 것이다. 심지어 악성 링크가 화이트리스트로 분류돼 차후의 검사에서 완전히 배제돼 버릴 수도 있다.

나아가 악성 파일을 호스팅하는 사이트의 관리자가 악성 파일을 악성 파일로서 파악할 수 없게 되고 그 결과 파일이 아무런 영향을 받지 않은 채 상주하므로 위험이 계속된다.

베스투체프는 “델프(Delf) 뱅킹 트로이목마의 경우 제작자가 2~3일마다 이를 새로운 버전으로 업데이트하고 암호화 알고리즘을 자주 변경해 바이러스 검출을 훨씬 까다롭게 만든다”고 설명했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>