[보안뉴스 호애진] PC를 감염시킬 때 파일을 새롭게 생성하지 않아 탐지를 어렵게 만드는 악성코드가 발견됐다. 이는 Trojan-Spy.Win32.Lurk로 명명됐다. 특히, 이번 악성코드가 러시아 유명 언론사 사이트에서 발견됐기 때문에 최근 보안상 문제가 불거지고 있는 국내 언론사 사이트들은 각별한 주의를 기울여야 할 것으로 보인다.

이를 발견한 카스퍼스키랩은 해당 악성코드가 자바 취약점(CVE-2011-3544)을 이용하며, 드라이브 바이 다운로드 방식으로 유포된다고 밝혔다.

드라이브 바이 다운로드란 사용자 모르게 다운로드돼 실행되는 악성 프로그램을 일컫는다. 이는 일반적으로 감염시 드로퍼나 다운로더 파일을 하드 드라이브에 저장하며, 이 저장된 파일은 자동적으로 특정 명령을 실행하거나 PC에 또 다른 악성코드를 설치한다.

그러나 Lurk의 경우 파일을 새롭게 생성시키지 않는다. 대신 이 악성코드는 PC의 메모리에 상주하며, 자바 프로세스에 직접 가짜 자바 DLL을 인젝션한다.

이러한 메모리 기반의 악성코드는 흔하지 않다. 감염된 PC나 서버 등을 리부팅하면 악성코드는 사라지고, 메모리 내의 모든 데이터가 지워지기 때문이다. 특히, 이번 악성코드는 방문주기가 빠른 언론사 사이트를 타깃으로 제작됐기 때문에 국내  상륙시 국내 언론사 사이트에도 심각한 문제를 야기할 것으로 보인다. 네티즌들이 감염된 언론사 사이트를 다시 방문할 확률이 매우 높기 때문이다.

이번에 문제가 된 사이트는 러시아의 유명 언론 사이트들이다. 해당 사이트 자체에는 실질적인 공격 코드가 없고, 광고대행사에 의해 운영되는 사이트 내 배너 광고에 포함돼 있다.

Lurk는 봇과 같이 행동한다. C&C 서버로 데이터를 전송하고 명령을 수신받는다. 문제는 어떠한 파일도 설치되지 않기 때문에 안티바이러스 소프트웨어로는 탐지가 어렵다는 점이다.

따라서 감염을 막기 위해서는 자바 취약점에 대한 패치를 업데이트하거나 최신 버전으로 설치하는 것이 좋다. 아울러 브라우저와 플러그인 역시 취약점으로 이용되지 않도록 최신 버전으로 유지해야 한다.

현재는 러시아 주요 언론사 사이트를 타깃으로 제작됐지만 동일한 공격이 다른 국가에서도 발생할 수 있기 때문에 주의를 기울여야 할 것으로 보인다. 똑같이 사이트 내 배너 광고를 이용해서 유포될 수 있기 때문이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>