지난해 10월, 마이크로소프트의 인터넷 익스플로러 취약점(CVE-2013-3897)을 통해 유포되는 악성코드가 DDoS, 원격 제어, 게임계정 유출 기능을 하고 국내 감염 PC가 2만 8천여 대에 이르러 KISA가 긴급 대응한 바 있다. 최근 이 악성코드 제작자가 올해 1월 게임계정 유출 기능을 업그레이드해 감염 PC에서 사용 중인 비트코인 사이트 계정을 수집하는 정황이 포착됐다.
 
KISA는 “이 해커는 국내 동영상 스트리밍 서비스인 판도라TV 서버를 해킹하고 변조된 설치 파일을 통해 악성코드를 유포했다. 해당 악성코드 제작일자는 지난 2월 3일이었으며 신속한 대응으로 3일 만에 삭제 조치되었다”고 설명했다.

 
하지만 2월 16일 또다시 해커는 안랩 게임 보안 솔루션 ’핵쉴드‘ 업데이트 파일로 가장해 악성코드를 유포했다. 해당 악성코드는 비트코인 계정을 탈취하던 기존 방식을 암호화폐 Protoshares를 채굴하는 방식으로 변경해 금전적 이득을 취한 것이 밝혀졌다.
 
Protoshares(PTS) 암호화폐는 지난해 11월 5일 Invictus Innovations사가 미국 아틀란타에서 최초 발행한 전자화폐로 공급량이 많아지면서 통화가치가 상승할 것으로 판단해 채굴 대상으로 타깃이 되고 있다.
 
KISA의 악성코드 다운로더 분석 결과, 변조된 판도라 TV 및 핵쉴드 설치파일은 리소스 영역에 정상 설치 파일과 악성코드를 숨기는데 동일한 리소스명을 사용했다. 리소스명은 모두 MHM/129/2052와 MHM/130/2052이었다. 지난 2012년 10월 30일 발생한 IE 제로데이 취약점을 통한 악성코드 유포 건에는 해당되지 않는다.
 
또한 16개~19개 사이트에 주기적으로 접속해 악성코드를 추가 다운로드하려고 시도했다. 사이트 대부분이 정상 사이트였으며 이 중 한 사이트가 특정 시점에 악성코드를 포함하고 있었다. 이는 악성코드 분석가가 진짜 다운로드 사이트를 알아채기 못하도록 혼동을 주기위한 목적으로 보인다. 16개~19개 사이트는 분석을 방해하기 위해 인코딩되어 있으며 해독하는 알고리즘은 모두 동일했다.
 
반면 유포지에 접속하는 주기는 사건별로 달랐으며 작년 10월 발생한 악성코드 유포건의 경우 1초였으나 판도라TV 건과 핵쉴드 건의 경우 10분이었다. 해커는 탐지 및 삭제 등을 우회하기 위해 원하는 시점에 악성코드를 16~19개 사이트 중 한 곳에 설치했다. 다운로드된 악성코드에는 MYDLL1312052리소스 영역이 존재하며 해당 영역에 jhProtomine이라는 공개된 암호화폐 채굴 프로그램을 저장하고 실행시켰다.
 
KISA의 Protoshares(PTS)암호화폐 채굴 악성코드 분석 결과, 악성코드는 CPU를 최대한 사용하기 위해 다른 비트코인 채굴 프로그램(minerd.exe)이 있을 시 종료시키고 PTS암호 화폐 채굴 프로그램을 실행시켰다. 실행 옵션으로 채굴 사이트 아이디 및 패스워드를 입력하는데 국내 홈페이지에서 유포된 악성코드를 분석한 결과 아이디가 모두 유사했다.
 
아래 표는 유포지에서 발견된 악성코드별 아이디, 패스워드, C&C이며 버전별로 아이디가 관리되고 있는 것으로 보인다. 악성코드 다운로더와 다운로드된 암호화폐 채굴 악성코드에서 명령조정지 fXXt.co.kr가 동시에 발견된 점으로 미루어 볼 때 해커가 애용하는 사이트로 보인다.
 
KISA 관계자는 “이와 같이 악성코드를 통해 게임 계정, 비트코인 계정, 인터넷 뱅킹 정보 등을 유출해 사이버 머니 등 금전적 이득을 취하는 해커가 증가하고 있다. 암호 화폐 채굴은 다른 방식에 비해 금전적 피해는 적으나 높은 CPU 점유율으로 인해 사용자 불편을 초래할 수 있다”며 “사용자는 백신을 최신 버전으로 업데이트하고 주기적으로 검사하여 악성코드 감염을 예방해야 한다. 또한 특정 프로그램이 CPU를 필요 이상으로 많이 사용하고 성능이 현격히 저하되었다면 일단 의심하고 백신으로 검사한 후 118센터 등에 신고하는 것이 필요하다”고 권고했다.
 
이에 대한 KISA 상세 리포트는 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com