최근 유포된 악성코드 80%가 트로이목마였다!
트로이목마, 원격에서 장악한 시스템의 공격 제어할 수 있는 악성코드
최근 유포되고 있는 악성코드 샘플 62종을 분석한 결과 이번 3.20 사이버테러를 유발한 트로이목마 유형이 80%를 차지한다는 분석결과가 나왔다. 즉 악성코드 대응체계를 마련하지 않으면 이번과 같은 사고는 반복해서 발생할 수 있다는 점에서 시사하는 바가 크다. 트로이목마, 원격에서 장악한 시스템의 공격 제어할 수 있는 악성코드
빛스캔(대표 문일준)은 “지난 수요일 발생한 방송국 및 금융권 해킹 사고와 더불어 발생 가능한 추가적인 해킹사고의 발생 가능성을 줄이기 위해 국내외 보안 기업 및 유관 기관에 지난 11일부터 17일까지 수집해 보유하고 있던 악성코드 수백 여종을 제공한바 있다”고 밝히고 “현재 빛스캔에서는 180여 만개의 웹서비스에서 악성코드 감염 현황을 관찰하고 있으며 웹서비스를 통한 자동감염(Drive by Download)에 대해 악성링크와 악성코드를 수집하고 있다”고 전했다.
또 “위험을 경고한 기간 중 수집된 악성코드를 선 제공함으로써 웹서핑을 통해 감염된 악성코드를 이용해 내부망으로 침입했을 가능성도 일정부분 있을 수 있어서 대응차원에서 제공한 것”이라고 덧붙였다.
빛스캔 관계자는 “정보제공을 받은 모 보안 업체에서 약 62종의 악성코드를 1차적으로 분석한 정보를 당사에 제공했다”며 “총 62종의 악성코드 중에 트로이목마(Trojan Horse)가 50건(80%)를 차지했으며, 백도어 5건(8%), 다운로더 3건(4.8%)를 차지했다. 그 외 정보유출을 목적으로 하는 Info Stealer 계열의 악성코드도 1건 진단된 것으로 확인되었다”고 전했다.
< 3월 20일 공유한 악성코드 분석 정보. 빛스캔 제공, 시만텍 분석>
악성코드 정보를 분석한 결과 2가지 흥미로운 점이 나타난 것을 확인할 수 있었다고 한다.
우선 트로이목마가 많이 유포되었다는 점이다. 트로이목마는 원격에서 공격자가 직접 통제를 할 수 있으며, 원격에서 접근을 통해 추가적인 내부 공격에도 이용 될 수 있다. 시스템에 대한 모든 권한을 장악하고 추가적인 공격도구들도 다운 받아서 활용할 수 있는 형태이므로 추가적인 내부 공격의 거점으로도 활용 될 수 있다. 또한 공격자에 의해 직접 조정도 가능한 형태의 원격 통제 도구인 RAT(Remote Administration Tool) 종류도 트로이목마로 분류 될 수 있다. 이번 3.20 트로이 목마 사례도 여기에 포함된다.
지금의 상황은 취약한 웹서비스 혹은 공격자가 권한을 이미 가진 웹서비스에 접속하기만 해도 백도어나 트로이목마에 일반 사용자들은 감염 될 수 있는 상황이다. 내부망에 있는 사용자 PC를 공격하는 방식에는 이메일을 통한 악성코드 감염과 웹서핑을 통한 방문 시 감염 사례 두 가지가 있을 수 있다. 현재 빛스캔에서 제공하는 모든 악성코드는 웹서핑을 통한 방문 시의 감염 사례에 대해 수집된 악성코드들이므로 이메일을 통한 악성코드 감염 이슈에 대해서도 균형적인 조사는 진행 되어야 할 것으로 판단된다.
또 한가지 특이사안은 언론상에 빛스캔 측이 밝힌 방송국 관련 악성코드 이름은 kbs.exe, sbs.exe, imbc.exe 세 가지다. 실제 방송국 중에서 KBS와 MBC만이 피해를 입었다고 알려져 있다. 하지만 sbs.exe 악성코드 파일을 분석한 결과 깨져 있는 즉, 동작하지 않는 악성코드라고 분석되었다. 실제 SBS 방송국은 피해가 없다고 알려져 있어 이와 연관된 무엇이 있지 않을까 빛스캔 측은 추정하고 있다.
빛스캔 관계자는 “다만 이번 사건에서 실제 피해를 입힌 악성코드의 경우 추가적으로 내려와 PC를 공격한 파일이며, 당사에서 제공한 샘플은 그 전단계인 1차 감염, 추가 다운로드에 관련된 악성파일이다”라고 밝히고 “또한 감염 이후 내부망 PC 대역을 공격할 수 있는 거점으로도 삼을 수 있는 악성파일이라 3월 20일 발생된 사건과 직접적인 연관성에 대해서는 정확히 판단하기 어렵다고 보여진다. 향후 추가 조사와 분석을 통해 내부망으로 유입된 경로가 밝혀진다면 연관성은 확인이 될 수 있다. 가능성을 줄이기 위한 차원의 정보제공이라는 점을 염두에 두어야만 한다”고 설명했다.
한편으로 백도어도 이번에 제공된 악성파일에서 발견되었다고 한다. 트로이목마와 동일하게 원격에서 직접 접근이 가능하고 통제가 된다는 점에서 위험성은 동일하다.
빛스캔 문일준 대표는 “이번 사례를 떠나서 현재 웹으로 공격되는 악성코드의 대부분은 개인정보 탈취, 파밍, 게임정보, DDoS 등 다양한 공격 목표를 지니고 있으며 실제 공격자의 손끝에 따라 목표가 달라지고, 피해 범위 또한 확대될 수 있는 상황”이라며 “모든 방문자를 대상으로 하는 대량 감염 공격의 효과를 줄일 수 있도록 꾸준히 노력하고 감염 매개체로 이용되는 웹서비스의 취약성을 꾸준히 개선해야만 대량에 의한 추가적인 대형 사고들을 예방 할 수 있을 것”이라고 경고했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
우선 트로이목마가 많이 유포되었다는 점이다. 트로이목마는 원격에서 공격자가 직접 통제를 할 수 있으며, 원격에서 접근을 통해 추가적인 내부 공격에도 이용 될 수 있다. 시스템에 대한 모든 권한을 장악하고 추가적인 공격도구들도 다운 받아서 활용할 수 있는 형태이므로 추가적인 내부 공격의 거점으로도 활용 될 수 있다. 또한 공격자에 의해 직접 조정도 가능한 형태의 원격 통제 도구인 RAT(Remote Administration Tool) 종류도 트로이목마로 분류 될 수 있다. 이번 3.20 트로이 목마 사례도 여기에 포함된다.
지금의 상황은 취약한 웹서비스 혹은 공격자가 권한을 이미 가진 웹서비스에 접속하기만 해도 백도어나 트로이목마에 일반 사용자들은 감염 될 수 있는 상황이다. 내부망에 있는 사용자 PC를 공격하는 방식에는 이메일을 통한 악성코드 감염과 웹서핑을 통한 방문 시 감염 사례 두 가지가 있을 수 있다. 현재 빛스캔에서 제공하는 모든 악성코드는 웹서핑을 통한 방문 시의 감염 사례에 대해 수집된 악성코드들이므로 이메일을 통한 악성코드 감염 이슈에 대해서도 균형적인 조사는 진행 되어야 할 것으로 판단된다.
또 한가지 특이사안은 언론상에 빛스캔 측이 밝힌 방송국 관련 악성코드 이름은 kbs.exe, sbs.exe, imbc.exe 세 가지다. 실제 방송국 중에서 KBS와 MBC만이 피해를 입었다고 알려져 있다. 하지만 sbs.exe 악성코드 파일을 분석한 결과 깨져 있는 즉, 동작하지 않는 악성코드라고 분석되었다. 실제 SBS 방송국은 피해가 없다고 알려져 있어 이와 연관된 무엇이 있지 않을까 빛스캔 측은 추정하고 있다.
빛스캔 관계자는 “다만 이번 사건에서 실제 피해를 입힌 악성코드의 경우 추가적으로 내려와 PC를 공격한 파일이며, 당사에서 제공한 샘플은 그 전단계인 1차 감염, 추가 다운로드에 관련된 악성파일이다”라고 밝히고 “또한 감염 이후 내부망 PC 대역을 공격할 수 있는 거점으로도 삼을 수 있는 악성파일이라 3월 20일 발생된 사건과 직접적인 연관성에 대해서는 정확히 판단하기 어렵다고 보여진다. 향후 추가 조사와 분석을 통해 내부망으로 유입된 경로가 밝혀진다면 연관성은 확인이 될 수 있다. 가능성을 줄이기 위한 차원의 정보제공이라는 점을 염두에 두어야만 한다”고 설명했다.
한편으로 백도어도 이번에 제공된 악성파일에서 발견되었다고 한다. 트로이목마와 동일하게 원격에서 직접 접근이 가능하고 통제가 된다는 점에서 위험성은 동일하다.
빛스캔 문일준 대표는 “이번 사례를 떠나서 현재 웹으로 공격되는 악성코드의 대부분은 개인정보 탈취, 파밍, 게임정보, DDoS 등 다양한 공격 목표를 지니고 있으며 실제 공격자의 손끝에 따라 목표가 달라지고, 피해 범위 또한 확대될 수 있는 상황”이라며 “모든 방문자를 대상으로 하는 대량 감염 공격의 효과를 줄일 수 있도록 꾸준히 노력하고 감염 매개체로 이용되는 웹서비스의 취약성을 꾸준히 개선해야만 대량에 의한 추가적인 대형 사고들을 예방 할 수 있을 것”이라고 경고했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
