| 네이버 툴바 위장 악성코드 등 동일수법 융단공격! | 2012.11.13 | ||||||||||||||||||||||||||||||||||||||||
최근 발견된 한컴뷰어 악성코드와 동일 공격자 또는 툴 사용 드러나
중국 특정 해커조직 의심...업데이트 서버 변조 등 지능적 방법 동원 [보안뉴스 권 준] ‘네이버 툴바 캐리어’ 파일로 위장한 악성코드가 2주 전 뿌려진 것으로 드러나 PC 사용자들의 각별한 주의가 요구되고 있다.
▲ 최근 2주새 연이어 발견된 한컴뷰어 파일 및 네이버 툴바 위장 악성코드. 디지털 서명 인증서와 파일 타임스태프 등 상당수가 일치한 것으로 드러나 동일 제작자 또는 툴에 의한 공격으로 의심되고 있다. [자료 : 하우리] 특히, 이번 악성코드는 최근 한글 업데이트 서버에서 유포된 것으로 추정되는 한컴뷰어 파일과 동일한 제작자 또는 툴을 바탕으로 만들어진 것으로 알려져 특정 사이버범죄 집단에 의한 치밀한 공격이 광범위하게 이루어지고 있는 것 아니냐는 우려가 제기되고 있다. 최근 이렇듯 유사한 성격의 악성코드를 다수 발견한 하우리의 최상명 선행연구팀장은 “최근 발견된 일련의 악성코드들을 분석해본 결과 동일한 공격자이거나 동일한 공격 툴을 사용하는 것으로 나타났다”며, “다만, 한컴뷰어 파일이 한컴 업데이트 서버 변조를 통해 특정 타깃으로 유포된 것으로 보이는 반면, 네이버 툴바 캐리어 파일의 경우 유포경로를 아직 확인하지 못했다”고 밝혔다. 이로 인해 ‘네이버 툴바 캐리어’란 파일명으로 위장한 악성코드의 경우 단순히 네이버 툴바란 이름을 사칭해 만든 것인지 실제 네이버 툴바를 통해 유포된 것인지 확인할 수 없다는 것. 최상명 팀장의 분석내용을 중심으로 두 가지 파일의 악성코드를 비교해보면 다음과 같다.
▲ 한컴뷰어 및 네이버 툴바 위장 악성코드 비교
특히, 한컴 업데이트 서버 변조를 통해 유포된 악성코드는 보안전문가들에게는 매우 유명한 PlugX라는 악성코드의 변종으로 알려졌다. 대부분의 백신업체 및 보안업계에서는 해당 악성코드를 유포하는 조직을 중국의 특정해커 조직으로 추측하고 있다는 게 최상명 팀장의 설명이다. 해당 조직은 전 세계적으로 많은 나라에 다양한 방법으로 해당 악성코드를 은밀히 유포하고 있는 것으로 알려졌고, 국내에도 이전부터 다양하게 유포되고 있다는 얘기다. 또한, 국내에는 한컴뷰어 파일 및 네이버 툴바 캐리어 파일 위장 악성코드와 유사한 악성코드가 ‘2012년 건강검진 실시안내.zip’, ‘nhn.rtf.exe’ 등의 파일명으로 이메일의 첨부파일 형태로도 유포된 것으로 드러났으며, 악성기능은 모두 키로깅으로 동일한 것으로 나타났다.
▲ 앞서 설명한 두 종류의 악성코드와 유사한 형태의 악성코드로 이메일에 첨부돼 유포된 것으로 드러났다. [자료 : 하우리] 이번 일련의 악성코드 유포와 관련해 하우리 최상명 선행연구팀장은 “특정 해커 조직에서 국내 기업 및 기관을 대상으로 한 공격이 지속적으로 발생하고 있다. 특히, 악성코드 감염을 위한 업데이트 서버 변조와 같이 아주 지능적인 방법들이 동원되고 있다”며, “국내를 공격하는 해커들과 악성코드의 특징을 끊임없이 추적·관리하여 향후 해당 조직에 의한 유사한 공격들이 발생할 경우 효과적으로 차단할 수 있도록 해야 한다”고 당부했다. [권 준 기자(editor@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||||||||||||||||||||||||||||||||||||
 |
