잉카인터넷, 게임·파밍 악성파일 동일조직이 10년 넘게 유포

[보안뉴스 김태형] 지난 10년 넘게 한국을 공격하던 악성파일의 실체가 드러났다. 정보보안 전문기업 잉카인터넷(대표 주영흠, http://www.nprotect.com/) 시큐리티대응센터(ISARC)는 최근까지 국내에 다량으로 유포중인 온라인게임계정 및 파밍 기능의 악성파일 개발조직이 10년 넘게 장기간 활동 중이라는 새로운 사실을 발표했다.

잉카인터넷 시큐리티 대응센터에서 수년 간 국내에 유포된 악성파일의 유사성 및 연관관계를 관찰하고 프로파일링하던 과정 중 매우 흥미로운 점을 찾아낸 것.

그동안 국내 컴퓨터 이용자들에게 무작위로 전파되었던 악성파일 중 △온라인 게임 계정 탈취형 △피싱/파밍/메모리해킹 전자 금융정보 탈취형 △유명 웹 사이트 관리자 계정 탈취형 △비트코인/프로토쉐어 가상화폐 정보 탈취형 △업데이트 모듈 교체 유포기법 형태 △유효 디지털 서명 악용 형태 △정상파일 변조기법 형태 △원격제어 기능 형태 △Drive by download 방식에 모바일 공격코드 추가 형태 △한국과 일본의 맞춤형 표적공격 형태 등 각각 기능이 다른 다종의 악성파일이 매우 복잡하게 얽혀 있었다.

하지만 잉카인터넷 시큐리티 대응센터는 이러한 악성파일들의 숨은 연결고리가 존재하고 있다는 단서를 장기간 연구 끝에 알아냈고 그 내용을 다음과 같이 처음으로 공개했다.

이와 관련, 잉카인터넷 시큐리티 대응센터 문종현 팀장은 “먼저 이 악성파일 유포조직의 계보와 특징을 정확히 파악하기 위해서는 과거 10년 전부터 최근까지 국내를 직접적으로 겨냥한 악성파일의 이해가 선행적으로 충족되어야 하며, 각각의 악성파일이 보유한 방대한 코드정보를 축적하고 있어야 가능하다. 즉 국내에서 벌어지고 있는 사이버범죄의 과거와 현재 그리고 시시각각 빠르게 변화하고 있는 트렌드를 알고 있어야 한다”고 말했다.

해당 악성파일 유포 조직은 지난 2004년 전후부터 2014년 현재까지 중국어 기반의 프로그래밍으로 국내 주요 웹 사이트를 상대로 수천 종 이상에 달하는 신·변종 악성파일을 전파시키고 있는 것으로 밝혀졌다.

잉카인터넷은 국내에 다년간 유포된 한국 맞춤형 악성파일의 유사성 및 연관관계를 조사하고 추적 관찰해 수집한 다양한 정보를 기반으로 종합적으로 프로파일링한 결과 매우 흥미롭게도 대략 10년 전의 악성파일과 현재의 악성파일에서 공통적으로 사용된 코드가 존재한다는 점을 발견했고 동일한 악성파일 알고리즘이 지속적으로 이용되고 있다는 정황 단서들도 다수 확보했다고 전했다.

과거 수년 동안 국내 불특정다수의 이용자들을 대상으로 무차별적으로 전파된 대표적인 주요 악성파일들에서 서로 이어지는 연결고리와 특수한 공통 단서들이 존재한다는 점은 그 동안 국내를 기반으로 수행된 사이버범죄가 최소한 하나의 조직(그룹)이나 특정한 누군가에 의해 주도면밀하게 자행되고 있다는 것을 증명하는 것이며, 이들은 앞으로도 국내 사이버 보안위협의 고 위험군에 속할 것이라고 예상했다.

먼저 2004~2006년 사이에 주로 이용된 국내 온라인 게임 계정 탈취형태의 악성파일은 ‘Earthworm’, ‘Turtle’이라는 고유한 변수이름을 내부적으로 이용했는데, 2007년~2012년 사이 국내에 유포된 대표적인 악성 파일들에서도 해당 변수가 공통적으로 사용하고 있다는 점이 확인됐다.

또한, 명령제어서버(C&C)에서 추가 악성파일을 다운로드 할 때 사용하는 명령어나 파일 등록기법들이 모두 동일하게 일치했다. 그리고 2012년 전후부터 한국 이용자를 겨냥한 인터넷 뱅킹용 악성파일이 본격적으로 발견이 되었는데, 기존 온라인 게임 계정 탈취기능의 악성파일이나 특정 웹 사이트 관리자 계정 수집용 악성파일들이 보유하고 있던 내부 바이너리명(MYDLL)도 일치했고, 주요 악성 프로그램 기능 구조도 거의 동일했다.

아직도 국내를 상대로 한 각종 악성파일 유포의 배후는 베일에 가려져 있고, 10년 넘게 유포된 악성파일이 동일한 조직이나 사람에 의해서 집중적으로 개발되고 있다는 점에서 좀더 다양한 보안대안이 마련되어야 할 것으로 보인다.

특히, 해당 조직은 단순히 악성파일 제작뿐만 아니라, 국내 주요 웹 사이트를 해킹해 경유지 및 유포지로 활용하고 있으며, 최근에는 만 7천여 개에 달하는 웹 사이트가 사용 중인 소셜 댓글 플러그인 기능을 무단 변조하고 플래시 플레이어 보안취약점을 결합시켜 단시간에 엄청나게 많은 이용자들에게 악성파일을 전파시키는 전략까지 총동원하고 있다.

이처럼 공격자들은 파급력적인 측면에서 효과가 높은 공격방식을 채택하고 있어 매우 각별한 주의가 필요하며, 주요 인터넷 기업들이 서비스하는 정상프로그램을 변조하여 악성파일을 포함시켜 업데이트 시키거나 설치되도록 유도하고 있다는 점도 반드시 명심해야 한다.

이런 대표적인 몇 가지 단서만을 놓고 보아서도 해당 악성파일 관련조직은 10년 넘도록 국내 컴퓨터 및 웹 사이트 관리자 등을 노리고 교묘하고 지능적인 공격을 꾸준히 벌이고 있다는 것을 확인할 수 있다.

이에 잉카인터넷 시큐리티대응센터 문종현 대응팀장은 “국내 이용자들의 중요 정보를 노린 공격이 갈수록 고도화/지능화되고 있고, 매우 은밀하면서도 지속적인 공격활동을 10년 넘게 수행하고 있다는 것을 공식 확인할 수 있었다”면서 “각종 보안취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 인터넷 이용자들은 항시 보안제품을 설치하고 매일 매일 최신 버전으로 업데이트해 사용해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>