| 왕좌의 게임? 금융정보 노린 신종 트로이목마 또 출현 | 2014.06.18 | |
고제우스 물러난 후 빈 왕좌를 노리는 세력들이 계속 나타날 듯 [보안뉴스 문가용] 최근 새로운 RAT(Remote Access Trojan : 원격 접근 트로이목마)가 메이저급 은행들의 고객을 노리고 활동하고 있는 게 발견됐다.
CSIS 시큐리티 그룹(CSIS Security Group)의 보안전문가인 피터 크루스(Peter Kruse)는 다른 RAT와 마찬가지로 다이레자 역시 온라인 뱅킹 사용자들을 목표로 삼고 있다고 했다. “목표 대상 중 몇몇을 방문하면 트로이목마의 추가 기능이 발동합니다. 그러면서 금융관련 정보를 모으죠.” 목표대상들은 뱅크 오브 아메리카(Bank of America), 내셔널 웨스트민스터 은행(Natwest), 씨티뱅크(Citibank), RBS, 얼스터뱅크(Ulsterbank)였다. 이번 트로이목마는 이 목표 대상들이 가지고 있는 SSL 보호장치를 쉽게 통과해 정보를 훔치는 것으로 알려졌다. 또한 제우스와는 달리 전혀 새로운 종류의 멀웨어로 여러 종류의 변종이 곧 돌아다닐 것으로 보고 있다.
“이 다이레자를 만든 사람들은 독자적인 자금 운반책까지도 도입했습니다. 이는 정식 범죄형 솔루션으로서 다이레자를 제작했다는 뜻이거나 범죄전문 조직이 통째로 연루되었을 가능성을 시사합니다.” 그러나 지금까지의 조사에 의하면 암호 정보화나 C&C 다대일(many-to-one) 인프라, 파일 이름 랜덤화와 같은 고차원 기능은 갖추고 있지 않은 것으로 알려졌다.
“제우스와 다이레자의 가장 큰 차이점은 C&C 인프라(서버)와의 통신 방법입니다. 제우스는 데이터를 암호화시킨 다음에 초기 2진 데이터의 형태로 되돌려 보냅니다. 하지만 다이레자의 경우, 데이터를 있는 그대로 포스트(Post)시키더군요. 그래서 기업의 침입탐지 시스템에 잘 걸립니다. 암호화 과정 없이 데이터를 포스트시키는 것을 보면 아직 이 멀웨어가 완성단계에 있는 것 같지는 않습니다. 시간이 조금 지나면 더 보강된 놈이 돌아다닐 겁니다.” 이처럼 제우스와는 전혀 다른 방식으로 파일을 처리하기 때문에 신종 트로이목마일 가능성이 높다고 전문가들은 점치고 있다. 신종 트로이목마가 발견된 건 지난 주에 이어 벌써 이번 달에만 두 번째다. 토카조프스키 씨에 따르면 최근 고제우스의 제압에 성공함에 따라 해커들이 새로운 방법을 활발히 모색하고 있기 때문이라고 전했다.
“고제우스가 무너짐에 따라 해커들 입장에선 새로운 도구를 찾아내거나 만들 필요가 생겼습니다. 아마 새로운 트로이목마에 대한 보고가 계속해서 쏟아질 겁니다. 비어있는 왕좌를 누가 그냥 놔두겠습니까.” 피터 크루스 씨도 이에 동의하지만 의견을 하나 더 추가했다. 아직 고제우스가 완전히 박멸된 게 아니라는 것. “제우스나 고제우스 모두 완전히 제거된 건 아닙니다. 지금은 그저 제우스 및 그 변종들의 기능이 무엇인지 파악하고 필요한 업데이트를 한 것뿐입니다. 그리고 제우스에 이미 공격을 당한 시스템을 고친 것이지 미래 공격까지 효과적으로 대처했다고 말할 수 없습니다. 단언하기에는 아직 이른 단계라고 보입니다. 새로운 공격자에 대처하는 것도 좋지만, 이전 공격자에 대한 빈틈 역시 허락하면 안 되겠습니다.” ⓒDARKReading [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
