한국 제조기업 노린 표적 공격 악성코드 발견

악성코드 ‘듀저’, 한국 기업 겨냥해 컴퓨터 완전 장악 후 데이터 탈취

한국 제조기업을 노린 산업스파이 악성코드가 발견됐다.

시만텍코리아(대표 박희범)는 한국기업을 표적 공격하는 악성코드 ‘듀저’를 경고했다. 듀저는 웜 바이러스 ‘브램블(Brambul)’과 백도어 트로이목마 ‘조납(Joanap)’과 같이 한국을 겨냥한 악성코드와 연관성이 높다.

시만텍 보안위협대응센터에 따르면, 듀저는 표적 공격에 이용되는 위협이다. 주로 스피어 피싱 이메일이나 워터링홀 공격으로 확산된다. 악성코드는 한국 기업과 기관을 주로 겨냥해 컴퓨터를 완전 장악하고 데이터를 탈취하는 것으로 밝혀졌다.

한국 제조기업 노린 표적 공격 악성코드 발견

듀저는 32비트와 64비트 컴퓨터에서 모두 작동하며, 일단 컴퓨터가 감염되면 백도어로 △시스템 및 드라이브 정보 수집 △프로세스 생성, 나열 및 종료 △파일 접근, 변경 및 삭제 △파일 업로드 및 다운로드 △파일 시간 속성 변경 △명령어 실행 등 거의 모든 작업을 수행한다.

듀저 공격자는 악성코드 이름을 컴퓨터에 설치된 합법적 소프트웨어와 비슷하게 변경해 감염을 은닉했다. 시만텍은 듀저 공격자는 경험이 많고, 보안 분석기법에 대해 잘 알고 있는 것으로 예상했다. 표적 대상 기업 컴퓨터에서 중요 정보를 탈취하려는 의도를 가졌다고 제시했다.

공격자는 더 많은 한국기업을 공격하기 위해 웜 바이러스 ‘브램블’과 백도어 트로이목마 ‘조납’도 함께 활용했다. 브램블에 감염된 컴퓨터 중 일부는 듀저에도 감염됐다. 듀저 공격 명령&제어(C&C) 서버로도 이용됐다. 브램블은 무작위로 숫자, 문자 등을 입력해 비밀번호를 알아내는 무차별대입 공격으로 전파된다. 사용자 이름·비밀번호 목록을 사용한 서버 메시지 블록(SMB) 프로토콜 통해 임의 IP주소로 연결한다. 이 때 사용되는 비밀번호는 ‘123123’ ‘abc123’ ‘computer’ ‘iloveyou’ ‘login’ ‘password’ 등과 같이 흔하거나 예측하기 쉬운 것들이다.

조납은 브램블과 함께 설치되며 ‘SmartCard Protector’라는 이름으로 서비스명을 등록해 사용한다. 이 악성코드는 백도어 접속, 공격자에 특정 파일 전송, 파일 저장 및 삭제, 실행파일 다운로드 및 실행, 프로세스 시작 및 종료 등을 수행한다. RC4로 암호화된 연결 통해 감염된 또 다른 컴퓨터로 명령어와 환경설정 데이터를 전송할 수도 있다.

윤광택 시만텍코리아 제품기술본부 상무는 “이번에 발견된 악성코드는 한국 제조기업을 집중 겨냥한 산업스파이 성격이 강하다”며 “최근 우리나라를 겨냥한 사이버 공격이 증가하고 있어 기업 기밀 유출이 되지 않도록 인프라 차원 대비와 사용자 주의가 필요하다”고 강조했다.

김인순기자 insoon@etnews.com