2021-10-18 12:30 (월)
악명 높은 스파이웨어 ‘FinFisher’ 변종 감염 확산…주의
상태바
악명 높은 스파이웨어 ‘FinFisher’ 변종 감염 확산…주의
  • 길민권 기자
  • 승인 2017.09.25 18:10
이 기사를 공유합니다

ESET, 7개국에서 최신 FinFisher 변종 발견…국내 사용자 주의 당부

▲ 이셋코리아 제공
▲ 이셋코리아 제공
최신 스파이웨어인 ‘FinFisher’ 변종 감염 사례가 다수 발견되고 있어 사용자의 각별한 주의가 요구된다.

‘FinSpy’로도 알려진 악명 높은 스파이웨어 ‘FinFisher’의 새로운 변종을 포함하는 소프트웨어가 전 세계 공공기관과 산하기관을 대상으로 판매되고 있어 주의가 필요하다.

엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 관계자에 따르면 “새로 발견된 변종은 몇몇 기술적인 개선을 포함하고 있으며, 변종 중 일부는 주요 ISP 의 개입을 의심할 수 있는 감염 벡터를 사용하고 있다”며 “FinFisher는 웹캠과 마이크를 통한 실시간 촬영과 도청, 키로깅 및 파일 유출 등 광범위한 스파이 기능을 포함하고 있다”고 설명했다.

또 “FinFisher를 다른 스파이웨어와 차별화시키는 것은 배포와 관련된 논쟁이다. FinFisher 는 법률 이해 도구로 판매되고 있으며, 독재 정권에 의해서도 사용된 것으로 의심된다”며 “ESET은 7개국에서 최신 FinFisher 변종을 발견했다”고 전했다.

FinFisher 스파이웨어는 스피어 피싱, 수동 설치, 제로데이 익스플로잇 및 워터링 홀 공격 등 다양한 감염 메커니즘을 사용하는 것으로 알려져 있다. 주목할 만한 변종 스파이웨어의 새로운 배포 방법 중 하나는 ISP 수준의 맨인더미들 공격을 사용한다는 것이다.

감시 대상 사용자가 잘 알려진 애플리케이션을 다운로드 할 때 FinFisher에 감염된 해당 애플리케이션의 다운로드 링크로 리디렉션 된다.

FinFisher를 확산시키는데 사용된 것으로 보이는 애플리케이션은 WhatsApp, Skype, Avast, WinRAR, VLC Player 등이지만, 사실상 모든 애플리케이션이 이런 식으로 악용될 수 있어 주의해야 한다.

공격은 사용자가 잘 알려진 검색 포털에서 애플리케이션을 검색하는 것으로 시작된다. 사용자가 다운로드 링크를 클릭하면 수정된 링크를 통해 공격자의 서버에서 호스팅되는 트로이목마 설치 패키지로 리디렉션된다. 이를 다운로드 후 실행하면 정상적인 애플리케이션 뿐만 아니라 함께 제공되는 FinFisher 스파이웨어도 설치된다. 이러한 리디렉션 프로세스는 사용자의 인지없이 진행되어 육안으로는 확인이 불가능하다.

FinFisher의 최신 버전은 샌드박스, 안티 디버깅, 안티 가상화 및 안티 에뮬레이션 트릭을 포함하고 있어서 분석을 더욱 어렵게 만들고 있다.

이셋코리아 김남욱 대표는 "국가에 의한 계획적이고 조직적인 감시에 악성코드가 사용되고 있다는 점은 다소 충격적이다. 물론 일부 국가에서 한정적으로 발견된 사건이지만, 그만큼 악성코드는 우리의 생활과 밀접하게 연관되어 있기 때문에 스스로 철저한 대응이 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★