2020-04-06 02:10 (월)
정보 탈취, 디도스 공격 가능 악성코드 빠르게 확산 중!
상태바
정보 탈취, 디도스 공격 가능 악성코드 빠르게 확산 중!
  • 호애진
  • 승인 2013.09.29 23:18
이 기사를 공유합니다

‘나폴라(Napolar)’ 악성코드, 감염 건수 증가 추세
플러그인 통해 기능 확장… 바이너리 파일이 200 달러에 판매돼
지난 몇주간 유포되고 있는 새로운 악성코드에 관심이 모아지고 있다. ‘나폴라(Napolar)’라고 명명된 이 악성코드는 개인정보 및 금융정보를 훔치고 디도스(DDoS) 공격을 개시하도록 고안됐으며, SOCKS 프록시 서버로서의 역할도 하는 것으로 나타났다.
 
최근 보안업체 어베스트(Avast)와 에셋(ESET)은 이 악성코드에 주목하고, 나폴라가 8월 중순을 시작으로 지난 몇주간 매일 수백건에 달하는 감염 건수를 보이며 빠르게 확산되고 있다고 밝혔다. 현재 전세계로 유포되고 있긴 하지만 콜롬비아와 베네수엘라, 페루, 아르헨티나, 멕시코, 폴란드, 필리핀, 베트남 등에서 높은 감염률을 보이고 있다.
 
나폴라의 제작자는 한 웹사이트를 통해 해당 악성코드를 홍보하고 있는 것으로 알려졌다. 전문가가 디자인한 것으로 보이는 이 웹사이트는 은밀하게 판매가 이뤄지는 해킹 포럼이 아닌 주요 검색 엔진을 통해 접근 가능한 웹사이트다.

 
해당 악성코드를 ‘솔라봇(Solarbot)’이라고 소개한 그는 웹사이트를 통해 다양한 기능들을 열거하고, 체인지 로그(change log)를 계속 업데이트하며 개발 과정을 공개하고 있다. 아울러 이용 방법을 담은 매뉴얼과 나폴라에서 작동할 수 있는 플러그인 개발 방법에 관한 정보를 함께 제공하고 있으며, 바이너리 파일을 200 달러에 판매하고 있다.
 
나폴라는 그 목적에 따라 여러 용도로 쓰인다. 이메일과 FTP 클라이언트로부터 POP3 및 FTP 로그인 정보를 빼내고, IE나 모질라, 파이어폭스 혹은 구글 크롬에서 웹 형태로 입력된 정보를 훔칠 수 있으며, 여러 형태의 디도스(DDoS) 공격을 개시할 수 있고, SOCKS 프록시 서버로서의 역할을 수행하기도 한다.
 
다만 기능은 플러그인을 통해 확장된다. 이에 제작자는 플러그인 SDK를 제공하는데, 비트코인이나 컴퓨터 정보를 훔칠 수 있는 플러그인을 본보기로 함께 제공하기도 한다.

 
현재 이 악성코드는 해킹된 페이스북 계정을 통해 유포되고 있는 것으로 추정되고 있다. 발견된 악성코드 샘플이 ‘Photo_032.JPG_www.facebook.com.exe’라는 이름으로 돼 있기 때문이다. 페이스북의 로그인 계정을 훔친 공격자가 해당 정보를 이용해 페이스북 계정에 접근하고, 이를 통해 나폴라를 다른 사람들에게 유포하고 있는 것으로 보인다고 전문가들은 분석했다.
 
나폴라는 기능적인 측면에서는 제우스나 스파이아이와 같은 트로이목마와 유사하지만, 꾸준히 유지 보수가 되고 있는 점, 사용하기 쉽고 플러그인을 통해 쉽게 확장된다는 점 등으로 미뤄 이들보다 더욱 확산될 것으로 예상되고 있다. 또한 확실한 성과를 보이는 점, 저렴한 가격인 200 달러에 판매되고 있다는 사실도 빠르게 유포되고 있는 이 악성코드에 보안업체들이 주목하고 있는 이유가 되고 있다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com