2024-03-29 21:05 (금)
SpyEye개발코드 유출, 새로운 공격기법 나올 것!
상태바
SpyEye개발코드 유출, 새로운 공격기법 나올 것!
  • 길민권
  • 승인 2011.09.25 23:27
이 기사를 공유합니다

로그인 정보와 같은 중요정보 표적…트로이목마형 맬웨어
사이버 범죄 집단이 새로운 변종과 공격법 개발하는 길
[박춘식 교수의 보안이야기] 악명높은 스파이아이(SpyEye) 툴킷의 소스코드가 유출되어 최대급의 세력을 가진 범죄 맬웨어의 하나의 파벌이 보다 커다란 위협이 되지는 않을지 우려의 목소리가 높아지고 있다.
 
SpyEye는 Account의 로그인 정보와 같은 중요정보를 표적으로 하는 트로이목마형 맬웨어다.
 
2009년에 출현하자마자, 은행정보를 노린 맬웨어 제우스(Zeus)의 툴킷과 경합하게 되었다. 소스코드가 유출됨으로써, 시큐리티 연구자는 SpyEye 및 소스 코드 작성자의 범죄 수법에 대해서 귀중한 정보를 얻는 것이 가능하며, 동시에 별도의 사이버 범죄 집단이 새로운 변종과 공격법의 수법을 개발하는 길도 열리게 되었다.
 
SpyEye의 코드유출에 대해서 사이버 범죄 집단이 어떻게 반응할 지는 쉽게 상상할 수 있다. Damballa의 상급위협정보 애널리스트 존 보드만에 의하면 Zeus의 공격 툴킷의 소스코드가 2011년 3월에 유출된 이래 Damballa사의 연구팀이 파악하고 있는 새로운 Zeus봇 운영 집단은 수 십 곳이나 된다. 게다가 혼합형의 코드도 발견되어 SpyEye와 Zeus의 특성을 겸비한 맬웨어 변종의 존재를 입증하고 있다.
 
SpyEye의 소스코드 유출원은 코딩기술관련 정보를 유출한 데에 많은 관심을 가지고 있는 프랑스의 연구자였다. 이 유출은 언더그라운드의 범죄에코시스템에 있어서 타격이 될 것으로 보드만은 보고 있다.
 
SpyEye는 암시장에서 매매돼 최대 10만 달러의 가치가 매겨져 있다. 이용자는 1대의 기계만으로 툴킷을 사용할 수 없어 공격 관련성을 높이기 위해 유료 소프트웨어 업데이트 계약까지 제공되고 있다.
 
소스코드에는 튜토리얼(Tutorial)도 첨부되어 있어 누구라도 간단히 툴킷을 사용할 수 있도록 되어 있다. 속성 정보는 삭제되어, 연구자가 운영자의 명칭을 사용해 새로운 맬웨어 변종을 찾아내어 command & control 인프라에 도착하는 것이 어려워지게 되었다고 보드만은 전하고 있다.
 
대부분의 툴킷은 맬웨어 에이전트(Agent) 내에 핸들을 내포하고 있다. Damballa는 이미 속성 필드를 삭제한 새로운 SpyEye 툴킷이 사용되고 있는 것을 밝혀 내었다. 보드만은 Tutorial을 사용해서 자신도 불과 15분만에 SpyEye 빌드로부터 여러가지 속성 정보를 삭제할 수 있었다고 첨언하였다.
 
SpyEye툴킷 제작자는 연구자와의 싸움을 전개하고 있다. SpyEye 주인은 3월에 DDoS플래그인을 사용해서 화이트햇의 웹 사이트를 겨냥 공격하도록 툴킷에 명령을 내렸다.
 
표적이 된 것은 기존의 Zeus및 SpyEye의 command & control 서버와 IP주소 필드를 무상 제공하고 있는 Web사이트 abuse.ch. 이 사이트 리스트는 이들 악의적 IP 주소로의 통신을 차단하여 봇을 괴멸시키기 위한 블랙 리스트 작성에 사용되고 있다.
 
과거 반년 사이에 SpyEye의 활동이 활발해 진 것으로 다수의 시큐리티 기업들이 보고하고 있다. 시큐리티 기업 트러스티어(Trusteer)의 최근 보고서에 의하면 SpyEye봇의 60%이상은 미국의 은행을, 53%는 영국의 금융기관을 표적으로 하고 있다고 전했다. [박춘식 서울여자대학교 정보보호학과 교수]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★