최근 글로벌 보안기업 카스퍼스키(Kaspersky)랩의 네트워크 침입을 통해 지적 재산을 탈취하려는 듀큐(Duqu) 2.0 사이버 첩보 활동이 포착됐다. 개인이나 그룹이 아닌 국가 차원의 배후가 있는 것으로 카스퍼스키랩 측은 분석하고 있다.
 
듀큐 악성코드는 지난 2011년 하반기에 최초 발견된 국가 차원의 후원을 받아 특정 표적에 대한 APT 공격을 시도하는 사이버 첩보 활동으로, 다양한 제로데이(0-Day) 취약점을 활용하고 있으며 특히 스턱스넷(Stuxnet) 계열과 연관된 것으로 알려져 있어 미국 또는 이스라엘과 관련된 것으로 알려진 악성코드다.  
 
이번에 공개된 정보에 따르면, 2015년 초 카스퍼스키랩은 자사 내부 네트워크 시스템 일부에 영향을 미치는 사이버 침입 행위를 현재 개발 중인 Anti-APT 솔루션 알파(Alpha) 버전을 통해 탐지했다고 밝혔다.
 
회사 측은, 팀을 구성해 대규모 조사를 현재까지 진행 중에 있으며 기존의 Duqu 악성코드 제작 APT 그룹이 새로운 악성코드(Duqu 2.0)를 사용해 카스퍼스키랩을 표적으로 한 공격이 있었음을 확인한 것이다.

 
이번 사이버 공격에서는 윈도우 커널 제로데이(0-Day) 보안 취약점(CVE-2015-2360: Win32k 권한 상승 취약성) 및 2종의 또 다른 제로데이 보안 취약점을 활용했으며, 카스퍼스키랩은 관련 정보를 마이크로소프트에 보고하고 MS 6월 정기 보안 업데이트를 통해 보안 패치(MS15-061)가 이루어진 상태다.
 
듀큐 2.0은 자신의 존재가 확인되어 진단되는 부분을 감추기 위해 짧은 기간 동안에만 커널 메모리에 인젝션되어 정보를 탈취하는 방식을 이용했으며 이로 인해 하드 디스크에서는 어떠한 파일도 발견되지 않도록 삭제했다.  
 
카스퍼스키랩 분석에 따르면, 듀큐 2.0 악성코드의 주된 목표는 Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network(KSN), Anti-APT 솔루션, 진단 방식, 분석 능력과 같은 카스퍼스키랩 기술, 현재 진행 중인 연구와 내부 프로세스에 대한 정보 수집이 목적이며, 고객과 연관된 제품 및 서비스에는 영향을 주지 못했다고 밝히고 있다.
 
듀큐 2.0 운영 그룹은 아우슈비츠 해방 70주년 행사와 이란 핵 프로그램 내부 협상 참가자에 대한 정보 수집과 같은 특정 표적에 대한 사이버 첩보 활동을 위해 다양한 국가를 대상으로 공격을 수행하고 있다.
 
현재 듀큐 2.0 악성코드에 대해 카스퍼스키랩은 HEUR:Trojan.Win32.Duqu2.gen 진단명으로 진단이 이루어지고 있다.
 
상세 내용을 소개한 보안블로그 울지않는 벌새는 “이처럼 국가 후원을 받는 사이버 첩보 조직 또는 정체가 여전히 밝혀지지 않는 다양한 해킹 조직이 보안 업체까지 은밀하고 정교하게 사이버 공격을 할 수 있다는 현실을 보여주고 있다”고 전했다.
 
이번 Duqu 2.0 악성코드에 대한 기술 문서는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com