2024-03-29 06:50 (금)
스턱스넷과 유사한 ‘듀큐’ 감염경로 확인
상태바
스턱스넷과 유사한 ‘듀큐’ 감염경로 확인
  • 길민권
  • 승인 2011.11.02 19:40
이 기사를 공유합니다

시만텍, ‘듀큐’ 감염 프로세스에 대한 추가 분석 결과 발표
지난달 ‘스턱스넷(Stuxnet)’과 유사한 악성코드 ‘듀큐(W.32 Duqu)’의 보안 위협을 경고한 바 있는 시만텍 보안연구소가 CrySyS(Cryptography and System Security) 연구소와 함께 ‘듀큐’ 감염 프로세스에 대한 추가 분석 결과를 발표했다.
 
CrySyS 팀은 원본 듀큐 바이너리를 탐지한 데 이어 이번에 듀큐 인스톨러를 찾아내는 성과를 거뒀다. 지금까지는 인스톨러를 찾지 못해 듀큐가 어떻게 시스템을 감염시키는지 정확히 규명하기 어려웠지만 CrySyS 팀의 노력 덕분에 듀큐 감염 프로세스를 확인할 수 있게 됐다.
 
CrySyS가 찾아낸 듀큐 인스톨러 파일은 기존의 알려지지 않은 커널의 제로데이 취약점을 이용해 악성코드를 실행시키는 마이크로소프트 워드 문서(DOC)이다. 시만텍은 마이크로소프트 측에 해당 취약점을 통보했으며, 마이크로소프트도 관련 보안 업데이트를 준비중인 것으로 확인됐다.
 
현재까지 확인된 악성코드 듀큐에 대한 추가 업데이트 정보는 다음과 같다.
 
-보안 패치가 없는 제로데이 취약점을 이용하며, 마이크로소프트 워드 문서를 경유해 설치됨
-공격자들은 P2P 명령과 제어 프로토콜을 통해 안전 지대에 있는 컴퓨터 시스템에 듀큐를 퍼뜨리고 제어 가능
-현재까지 프랑스, 네덜란드, 스위스, 우크라이나,인도, 이란, 수단 및 베트남 등 8개국 6개 기업에서 감염이 확인됨
-벨기에에서 호스팅된 새로운 명령제어(Command&Control) 서버(77.241.93.160)가 발견되어 폐쇄됨
 
윤광택 시만텍코리아 이사는 “정보화 사회의 진전으로 기업의 지적 자산이 해당 기업뿐만 아니라 국가 경제에도 큰 영향을 주고 있어 산업 스파이 활동이 더욱 기승을 부리고 있는 상황”이라며, “갈수록 지능화, 정교화되고 있는 차세대 보안 위협에 맞서 기업들은 정보 중심의 보안전략을 바탕으로 전반적인 보안 프로세스를 점검하고, 임직원의 보안 의식 제고와 보안을 생활화해야 한다”고 강조했다.
 
또한 “본인도 모르게 프로그램이 생성되거나 삭제된 경우, 알 수 없는 파일이나 공유 폴더가 생긴 경우, 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우, 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우에는 즉시 악성코드 감염을 의심해봐야 한다”며, “무엇보다 출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.  
 
한편, 시만텍 보안기술대응팀(STAR, Security Technology and Response)은 듀큐에 대한 추가적인 분석을 계속하고 있으며, 새로운 정보가 확인되는 대로 듀큐 보안위협을 업데이트할 계획이다.
 
‘듀큐(W.32 Duqu)’에 대한 보다 자세한 정보는 www.symantec.com에서 확인할 수 있다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★