[보안뉴스 호애진] SQL 데이터베이스를 손상시키는 새로운 악성코드가 발견됐다. 이를 발견한 보안업체 시만텍은 나릴람(W32.Narilam)으로 명명하고, 이 악성코드가 이란을 타깃으로 하고 있다고 밝혔다.

나릴람은 지난 15일(현지시각) 처음 발견됐지만, 23일에야 슈니치 이마노(Shunichi Imano) 연구원의 자세한 발표로 세상에 알려지게 됐다. 시만텍은 이 악성코드를 ‘위험성 낮음’으로 평가했지만, 감염 분포에 따르면 대부분 이란에 집중됐고 일부가 영국, 미 대륙, 그리고 알라스카 지역으로 확산된 것으로 보고됐다.

흥미롭게도, 이 악성코드는 지난 2010년 미국의 이란 핵시설을 겨냥한 ‘스턱스넷(Stuxnet)’과 유사한 점이 있는 것으로 나타났다. 나릴람도 스턱스넷과 같이 웜의 일종이며, 이동식 디스크와 네트워크 파일 공유를 통해 전파된다고 이마노는 밝혔다.

나릴람은 SQL 데이터베이스에서 특정 단어를 검색한 후, 데이터베이스에 있는 항목을 임의의 수치로 변경하거나 특정 필드를 삭제함으로써 피해를 입힌다.

단어는 이란의 주 언어인 페르시아어로 돼 있고, 검색 대상이 되는 단어들로는 경상수지를 의미하는 ‘hesabjari’, 예금을 의미하는 ‘pasandaz’, 금융채를 의미하는 ‘asnad’ 등이 있다고 이마노는 설명했다.

그리고 그는 “나릴람에는 감염된 시스템에서 정보를 빼내기 위한 기능이 없는 것으로 보아 타깃 데이터베이스에 저장된 데이터에 손상을 입히기 위한 것으로 보인다”며 “검색 대상이 되는 객체의 유형으로 볼 때, 타깃 데이터베이스는 기업 내 주문, 회계, 또는 고객 관리 시스템과 관련된 것으로 보인다”고 덧붙였다.

다만, SQL 데이터베이스는 일반 사용자보다는 기업 대상이며, 따라서 이를 사용 하고는 있지만 백업을 하지 않는 기업들에게 큰 문제가 될 수 있다. 

이마노는 “나릴람에 감염된 기업들은 데이터베이스 복구를 위해 대규모의 작업 중단을 경험하거나 재정적 손실을 입을 수 있다”며, “이 악성코드는 데이터베이스를 손상시키고, 원본 데이터베이스의 복사본을 만들지 않기 때문에 감염된 데이터베이스를 복구하는 데 오랜 시간이 걸릴 것”이라고 설명했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>