카스퍼스키랩 연구진은 “그동안 Winnti 해킹 그룹의 활동에 대해 끈질기게 추적한 끝에 부트킷 설치 프로그램을 기반으로 하는 보안 위협을 밝혀내는 성과를 거뒀다”며 “공격 툴의 이름인 “HDD 루트킷”을 따라 Kaspersky Lab 연구진이 “HDRoot”라고 명명한 이 보안 위협은 대상 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼으로, 모든 종류의 악성 코드를 실행하기 위한 발판으로도 사용될 수 있다”고 설명했다.  
 
카스퍼스키랩 분석 내용에 따르면, 사이버 범죄 조직인 Winnti는 주로 소프트웨어 회사를 대상으로 산업 사이버 스파이 활동을 전개하며, 그 중에서도 특히 게임 산업을 노리는 것으로 알려져 있다. 최근에는 제약 산업 분야에도 손을 뻗치고 있음이 확인되었다.
 
“HDRoot”가 발견된 계기는 특이한 악성 코드 샘플이 Kaspersky Lab의 글로벌 연구 및 분석 팀(GReAT)의 관심을 끌면서 시작되었습니다. 그 이유는 다음과 같다.

 
-중국 기업, Guangzhou YuanLuo Technology에서 도난 당한 것으로 알려진 인증서로 서명된 상업용 VMProtect Win64 실행 파일로 서명됨. 이 인증서는 Winnti 그룹에서 다른 공격 툴을 서명할 때도 이용된다.
 
-마이크로소프트(Microsoft)의 net.exe 파일로 가장할 수 있도록 실행 파일의 속성이 변조된다. 즉, 시스템 관리자가 이 파일을 위험한 것으로 인식하지 못하게 한다.
 
분석 결과 HDRoot의 부트킷은 시스템에서 오랜 시간 머무르면서 지속적인 공격을 감행하는 범용 플랫폼인 것으로 밝혀졌다. 또한 다른 악성 코드를 실행하는 데에도 사용 가능하다. GReAT의 연구진은 이 플랫폼을 활용해 실행된 2가지 종류의 백도어를 발견했고, 아직 밝혀지지 않은 백도어가 더 많은 것으로 추정하고 있다. 이들 백도어 중 하나는 대한민국의 안티 바이러스 제품인 안랩의 V3 Lite와 V3 365 Clinic, 이스트소프트의 알약(ALYac)을 무력화하는 기능이 있었다.
 
Kaspersky Security Network의 데이터에 따르면 대한민국은 일본, 중국, 방글라데시, 인도네시아와 함께 동남아 지역에서 Winnti 그룹의 주요 공격 국가 중 하나였다. 또한 영국과 러시아에서도 각각 하나씩 찾아냈으며 이 곳 두 기업 모두 이전에 Winnti 그룹의 표적이 된 것으로 나타났다.
 
카스퍼스키랩(Kaspersky Lab)은 "이러한 APT 공격자의 가장 큰 목표는 탐지되지 않고 시스템에 남아 있는 것이다. 바로 이러한 이유로 이번 악성코드에서는 고도의 코드 암호화는 거의 없었다. 도리어 주의를 끌 가능성이 높기 때문”이라며 “Winnti 그룹은 기업이 모든 영역에서 최고 수준의 보안 정책을 적용하는 것은 아니기 때문에 숨겨야 할 요소와 관리자들이 간과할 수 있는 부분이 무엇인지 그간의 경험으로 잘 알고 있었기 때문이다. 시스템 관리자가 처리해야 할 일은 너무 많은데다가, 대응팀이 소규모일 경우 사이버 범죄 활동이 탐지되지 않을 확률은 더욱 높아진다”고 말했다.
 
HDRoot는 Winnti 그룹이 만들어진 초기에 합류한 누군가가 HDD 루트킷을 기반으로 개발한 것으로 보인다. 카스퍼스키랩에서는 Winnti가 조직으로서 모양을 갖추기 시작한 시기는 2009년으로 보고 있다. 또한 Winnti 그룹에서 다른 조직의 소프트웨어를 활용했을 가능성도 있다. 이러한 유틸리티와 소스 코드는 중국이나 다른 사이버 범죄 블랙 마켓에서 유통되고 있을 것이다. Kaspersky Lab에서 Winnti 악성 코드를 탐지한 이후로 1달도 채 지나지 않아 새로운 변종이 발견되기도 했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com