• 최종편집 : 2020.6.5 금 09:02
여백
> 사회 > 기획취재
시만텍, 한국 겨냥한 신종 트로이목마 확산 경고한국 제조업 타깃 ‘듀저’ 트로이목마 악성코드 발견… 감염 시 컴퓨터 완전 장악
김영자 기자  |  hu03@naver.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2015.10.27  22:15:12
트위터 페이스북 네이버 구글 msn

시만텍(www.symantec.co.kr)이 최근 한국 기업을 겨냥한 신종 백도어 트로이목마 ‘듀저(Duuzer)’를 발견, 국내 이용자의 각별한 주의를 당부했다.

듀저는 웜(worm) 바이러스 ‘브램블(Brambul)’과 백도어 트로이목마 ‘조납(Joanap)’과 같이 한국을 겨냥한 악성코드들과 연관성이 있는 것으로 분석되었다. 시만텍 보안위협대응센터(Symantec Security Response)에 따르면, ‘백도어.듀저(Backdoor.Duuzer)’ 악성코드는 표적 공격에 이용되는 위협으로서 주로 스피어 피싱(spear-phishing) 이메일이나 워터링홀(watering-hole) 공격을 통해서 확산되는 것으로 추정된다.

현재까지의 분석에 따르면, 이 악성코드는 한국 기업 및 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다.

듀저 트로이목마 악성코드는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터를 감염시키면, 컴퓨터의 백도어를 통해 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성, 나열 및 종료 ▲파일 접근, 변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등 거의 모든 작업을 수행할 수 있다.

시만텍의 분석 결과, 듀저 공격자들은 악성코드의 이름을 컴퓨터에 설치되어 있는 합법적인 소프트웨어와 비슷하게 변경하여 감염을 은닉하는 것으로 나타났다. 시만텍은 듀저 공격자들은 경험이 많고, 보안 전문가의 분석 기법에 대해 잘 알고 있는 것으로 예상된다며, 표적 대상 기업의 컴퓨터에서 중요한 정보를 탈취하려는 의도를 가진 것 같다고 밝혔다.

또한, 듀저 공격자들은 더 많은 한국기업들을 공격하기 위해 웜 바이러스 ‘브램블’과 백도어 트로이목마 ‘조납’도 함께 활용한 것으로 나타났다. 브램블에 감염된 컴퓨터중 일부는 듀저에도 감염되었으며, 듀저 공격의 C&C 서버로 이용되기도 했다.

브램블은 무작위로 숫자, 문자 등을 입력해 비밀번호를 알아내는 무차별대입 공격을 통해 전파되며, 사용자 이름·비밀번호 목록을 사용한 서버 메시지 블록(SMB) 프로토콜을 통해 임의 IP주소로 연결한다. 이 때 사용되는 비밀번호는 ‘123123’, ‘abc123’, ‘computer’, ‘iloveyou’, ‘login’, ‘password’ 등과 같이 흔하거나 예측하기 쉬운 것들이다.

조납은 브램블과 함께 설치되며, ‘SmartCard Protector’라는 이름으로 서비스명을 등록하여 사용한다. 이 악성코드는 백도어 접속, 공격자에 특정 파일 전송, 파일 저장 및 삭제, 실행파일 다운로드 및 실행, 프로세스 시작 및 종료 등을 수행할 수 있다. 또한, RC4로 암호화된 연결을 통해 감염된 또 다른 컴퓨터로 명령어와 환경설정 데이터를 전송할 수도 있다.

시만텍코리아 제품기술본부 윤광택 상무는 “이번에 발견된 듀저, 브램블, 조납은 모두 한국, 특히 한국의 제조기업들을 집중 겨냥한 악성코드로 정보 탈취를 목표로 한 산업스파이 성격이 강하다”며, “최근 들어 우리나라를 겨냥한 사이버 공격이 증가하고 있으니, 기업의 기밀 유출이 되지 않도록 인프라 차원의 대비와 함께 사용자의 각별한 주의가 필요하다”고 강조했다.

시만텍은 개인 및 기업이 이러한 악성코드 공격으로부터 컴퓨터를 보호하기 위해 다음과 같은 보안 수칙을 준수할 것을 권고했다.

o 기본 설정돼 있는 사용자 이름과 비밀번호는 반드시 변경한다. 

o 많이 사용되거나 쉽게 예측 가능한 비밀번호는 사용하지 않는다.

o 알려진 취약점을 이용한 공격을 차단하기 위해 OS 및 소프트웨어를 주기적으로 업데이트한다.

o 의심스러운 이메일은 열지 않는다. 악성 링크 또는 첨부파일을 통해 악성코드가 전파될 가능성이 있다.

o 보안 소프트웨어의 정의 파일을 업데이트해 항상 최신 상태로 유지한다.

노턴 시큐리티와 시만텍 엔드포인트 프로텍션(Symantec Endpoint Protection)을 포함한 시만텍 보안 제품은 ‘백도어.듀저(Backdoor.Duuzer)’, ‘W32.브램블(W32.Brambul)’, 그리고 ‘백도어.조납(Backdoor.Joanap)’과 같은 악성코드를 탐지, 사용자를 보호한다. 듀저, 블램블, 조납의 감염 여부는 시만텍에서 제공하는 감염 지표 리스트를 통해 확인할 수 있다.

김영자 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
여백
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
(05116) 서울특별시 광진구 광나루로 56길 85 테크노마트 8층 A014, A029(구의동)  |  대표전화 : 02-929-4222  |  청소년보호책임자: 이왕준(신문윤리담당)
편집국 : 02-929-4333, 광고국 02-921-4333 <일간인터넷신문>  |  등록일자 2014. 7. 1 : 서울 아03221  |  발행인 겸 편집국장 김동성(긴급연락 011-668-3158)
Copyright © 2014 데일리서울. All rights reserved. 제휴사=연합뉴스 / <시사주간신문> <데일리서울> 등록일자 2014. 8.4  |  등록번호 서울 다10873
㈜데일리서울 (후원계좌)우리은행=1005-702-570174 / (기사제보=공직비리, 사건 사고 gnus6@hanmail.net) / 주필 겸 법률고문 장일권 교수(법학박사)
<데일리서울>의 모든 콘텐츠(영상,기사, 사진)는 대한민국 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.