이셋코리아 “새로운 형태 데이터 유출 악성코드 `USB 씨프` 발견”

이셋코리아(대표 김남욱)는 새로운 형태 데이터 유출 악성코드를 발견했다고 25일 밝혔다. 이샛코리아는 유럽 엔드포인트 보안 전문 업체 이셋(ESET)의 국내 법인이다. 김남욱 이셋코리아 대표는 “이셋 연구팀이 새로운 형태 데이터 유출 트로이 목마 악성 코드를 발견했다”며 “ Win32/PSW.Stealer.NAI라는 진단명과 함께 `USB 씨프(USB Thief)`라는 별명을 부여했다”고 밝혔다.

이셋코리아 로고.
이셋코리아 로고.

`USB 씨프`는 USB 저장 장치 만을 사용해 전파된다. 피해 시스템에는 어떠한 활동 증거나 흔적도 남기지 않는 것이 특징이다. 악성코드 제작자는 악성코드가 복제 또는 복사된 후에도 이를 보호하기 위해 특별한 메커니즘을 사용하고 있고, 이는 `USB 씨프` 악성코드 감지와 분석을 훨씬 어렵게 만들고 있다고 이셋은 설명했다. 또 `USB 씨프`는 USB 이동식 장치에서 실행되기 때문에 시스템에 동작 흔적을 남기지 않고, 이에 따라 피해자가 데이터 유출을 인지하지 못한다고 이셋은 덧붙였다. 대상 시스템을 통해 `USB 씨프`가 노출되는 것을 방지하기 위해 하나의 USB 장치와 일대일로 결합된 점도 다른 악성코드와 구별되는 특징이다. USB 장치 기능과 결합되어 다단계로 매우 정교하게 암호화되어 있기 때문에 이를 감지하고 분석하는 것이 매우 어렵다고 이셋은 밝혔다.

`USB 씨프`는 휴대용 애플리케이션이나 휴대용 애플리케이션이 사용하는 라이브러리(DLL) 플러그인으로 저장될 수 있다. 따라서 이러한 애플리케이션이 실행될 때마다 악성코드가 백그라운드에서 실행되며, 수집된 정보는 USB에 저장되어 추후 외부 인터넷 접속이 가능한 조건에서 외부로 유출될 수 있다. 김남욱 이셋코리아 대표는 “인터넷에 연결되지 않은 망분리 시스템도 이제 보안 사고 예외가 될 수 없다. 망분리를 맹신함으로써 데이터 유출 사고 발생시 그 피해 규모가 더 클 수 있다”며 “최근 유행처럼 퍼지는 고가 차세대 악성코드 대응 솔루션도 모든 침해에 100% 대응할 수 있는 만병 통치약은 아니며 오히려 게이트웨이부터 엔드포인트까지, 또 호스트에서 휴대용 장치까지 단계별 보안 대책을 기본부터 착실히 준비하고 시행하는 것이 최선의 보안 대책”이라고 강조했다. 방은주기자 ejbang@etnews.com