국가기관 노린 멀웨어에서 연합의 흔적 나타나

[보안뉴스 문가용] 보안전문 업체인 F시큐어(F-Secure)는 정부기관을 목표로 해 정보를 훔치는 멀웨어를 발견했다. 특이점은 이번 멀웨어에는 2011~2013년에 발견된 코스무(Cosmu) 멀웨어의 특징과 미니듀크(miniDuke) 멀웨어의 특징이 모두 들어있다는 것. F시큐어측은 두 멀웨어 제작자 간의 긴밀한 연결고리를 의심하고 있다.

둘의 기능이 합쳐져 있기 때문에 F시큐어는 이 멀웨어를 코스믹듀크(CosmicDuke)라고 명명했다. 이 코스믹듀크는 키로거, 스크린샷 스내핑, 클립보드의 정보 탈취, 브라우저와 메시지 애플리케이션 내에 저장된 접근 정보들을 활용해 PKI 인증서, 키, 암호 해시, 암호/로그인 조합에 관한 정보를 훔친다.

다른 멀웨어와 크게 다른 점이 없는데 왜 F시큐어에서는 코스무와 미니듀크의 연합을 말하고 있는 것일까? “일단 두 멀웨어의 로더 활용법이 굉장히 흡사합니다. 코스무를 만든 사람과 미니듀크를 만든 사람 사이에 어떤 연결고리가 있다는 추측은 여기서부터 출발합니다.”

F시큐어 측의 설명이 이어졌다. “아직까지 미니듀크와 유사한 코딩을 사용하고 있는 다른 멀웨어가 발견된 적이 없습니다. 비슷한 로더 역시 본 적이 없습니다.” 즉 코스무와 미니듀크의 코딩과 로더가 굉장히 비슷하며, 이 유사점은 코스믹듀크에서도 발견된다는 점, 그리고 그 외 멀웨어에서는 한 번도 발견된 적이 없다는 점이 둘의 관계를 수상쩍게 만들고 있는 것이다. “코스믹듀크를 만든 사람과 미니듀크를 만든 사람이 코드나 툴을 공유하고 있음이 분명합니다. 아니면 아예 같은 사람일 가능성도 없지 않고요.”

코스믹듀크와 미니듀크는 공격방법 측면에서도 비슷하다. 둘 다 악성 PDF 파일과 마스킹 된 실행 파일을 통해 대상 시스템에 침투했다. 미니듀크는 2013년 2월 카스퍼스키가 발견했으며 유럽을 중심으로 23개국의 정부 기관들을 공격한 것으로 드러났다. 당시 이 멀웨어를 확산시키기 위해 미끼로 활용한 파일은 인권관련 세미나, 우크라이나의 외국인 정책, NATO 회원국과 같은 주제를 가면처럼 쓰고 있었다.

코스믹듀크 역시 정부기관들을 공격한 것으로 판단되는데, 특별히 동유럽권의 국가들을 노린 것으로 보인다. 미끼로 활용한 파일의 이름에는 ‘폴란드의 국제관계’, ‘우크라이나 가스전송 파이프’, ‘민간 위기 센터 현상 보고서’ 등의 표현이 들어가 있었다. 또한 러시아어와 터키어 등 다양한 언어가 사용된 것으로 밝혀졌다.

코스믹듀크가 사용하고 있는 IP 주소는 미국, 영국, 스웨덴, 룩셈부르크, 러시아, 네덜란드, 루마니아, 독일, 폴란드, 그리스, 체코 공화국에 있는 것으로 조사됐으며 F시큐어의 고객 중에는 아직 감염된 경우가 없는 것으로 알려졌다. 하지만 아직 꼬리가 잡히거나 원 제작자가 드러나지 않았으므로 위기는 현재진행형이라고 F시큐어 측은 경고한다.

정부기관이 주 타격 대상이라는 점, 해커끼리의 연합이 이루어졌을 지도 모른다는 점에서 이는 주시해야 할 사건이다. F시큐어는 홈페이지를 통해 코스믹듀크에 대한 상세한 보고서를 배포하고 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>