시만텍 보안 연구소가 지난 해 이란의 원전 시설을 불능화시키며 사이버 전쟁의 서막을 알린 고도의 표적 공격 ‘스턱스넷(Stuxnet)’과 유사한 악성코드 ‘듀큐(W.32 Duqu)’가 발견돼 현재 조사 중에 있다고 밝혔다.
 
시만텍은 'DQ' 파일명을 가진 파일을 생성해 ‘듀큐’로 명명된 이 악성코드의 제작자가 스턱스넷 바이너리는 물론 스턱스넷의 소스코드에도 접근한 것으로 분석했으며, 이를 근거로 듀큐 제작자가 스턱스넷 제작자와 동일인일 가능성이 있는 것으로 보고 있다.
 
시만텍의 분석에 따르면 듀큐는 스턱스넷과 매우 유사하지만 목적은 다르다. 산업시설에 물리적 피해를 입혔던 스턱스넷과 달리 듀큐는 산업용 제어시스템 제조업체와 같은 조직에 침투해 설계문서 등 핵심 정보 자산을 수집, 향후 제3자에 대한 공격을 보다 쉽게 감행할 수 있도록 준비하는 데 목적을 두고 있다.
 
실제 듀큐는 산업용 제어시스템과 관련된 코드를 전혀 포함하고 있지 않으며, 원격접속 트로이목마(Remote Access Trojan)로 활동을 한다. 또한 자가복제는 하지 않는 것으로 분석됐다.
 
시만텍은 사전 정보수집을 목적으로 하는 듀큐가 스턱스넷 공격과 유사한 차세대 사이버 공격을 예고하는 전조일 수 있는 만큼 주목할 필요가 있다고 밝혔다. 현재까지 탐지되지 않은 변종을 이용해 다른 조직에 유사한 방식의 공격을 수행하고 있을 가능성도 배제할 수 없는 상황이다.
 
<듀큐의 주요 특징> 
◇스턱스넷 소스코드를 사용한 실행파일들이 발견되었고, 이 실행파일은 마지막 스턱스넷 파일이 복구된 이후 개발된 것으로 추정된다.
 
◇이 실행파일들은 키보드 입력(Keystroke) 및 시스템 정보 등을 빼돌리도록 설계되었다.
◇산업용 제어시스템, 익스플로잇 또는 자기복제와 관련된 코드는 발견되지 않았다.
◇실행파일들은 산업용 제어시스템 제조업체와 같은 기업을 중심으로 제한적으로 발견되고 있다.
◇탈취한 데이터는 향후 스턱스넷과 유사한 공격을 감행하는 데 사용될 수 있다.
 
시만텍코리아의 윤광택 이사는 “스턱스넷에 이어 이번에 발견된 듀큐 사례에서 보듯이 공격자들의 인터넷 보안 위협 목표와 공격 전술은 더욱 지능화, 정교화 되고 있는 추세”라며, “이 같은 차세대 보안 위협에 대응하기 위해서는 정보 중심의 보안 전략과 더불어 심층적인 보호방안을 위해 전반적인 보안 프로세스를 점검하고, 임직원의 보안 의식 제고와 보안을 생활화 해야 한다”고 지적했다.
 
현재 시만텍은 듀큐에 대한 추가적인 분석을 계속하고 있으며, 듀큐로 인한 피해를 최소화하고 향후 발생할 수 있는 보안 사고를 방지하기 위해 듀큐에 대한 각별한 주의와 보안 수칙 준수를 당부하고 있다.
 
고도의 표적 공격 ‘스턱스넷(Stuxnet)’과 유사한 악성코드 ‘듀큐(W.32 Duqu)’에 대한 보다 자세한 내용은 www.symantec.com/content에서 확인할 수 있다. [데일리시큐=길민권 기자]