“넷사랑에 백도어 심은 공격자, 중국 해커와 유사성 있어”
상태바
“넷사랑에 백도어 심은 공격자, 중국 해커와 유사성 있어”
  • 김선애 기자
  • 승인 2017.08.24 13:48
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “넷사랑 서버관리 SW 설치된 백도어, 중국어 기반 스파이 조직 연관성 발견”

넷사랑컴퓨터의 서버관리 소프트웨어에 설치된 백도어가 홍콩에서 사용된 것이며, 중국어 기반 사이버 스파이 조직의 공격과 유사성이 있는 것으로 밝혀졌다.

카스퍼스키랩은 넷사랑컴퓨터의 엑스매니저, 엑스쉘 등에 백도어가 있다는 사실을 발견하고 이를 분석한 결과, 이 공격에 사용된 악성모듈은 지금까지 홍콩에서 활성화 됐으며, 다른 지역의 여러 시스템에도 휴면 상태로 숨어있을 수 있다고 설명했다. 사용자가 감염된 소프트웨어를 업데이트하지 않았다면 아직 활성화되지 않은 악성 모듈이 제거되지 않았을 가능성이 있다.

카스퍼스키랩 연구진은 이들 간의 몇몇 유사점을 보면 중국어 기반 사이버 스파이 조직으로 알려진 윈티APT(Winnti APT)가 사용하는 플러그엑스(PlugX) 악성 코드 변종일 가능성이 있다는 결론을 내렸다. 하지만 윈티APT와 확실하게 연결 짓기에는 아직은 근거가 불충분하다.

▲넷사랑 SW에 숨은 백도어를 이용해 C&C로 DNS 쿼리 요청

이 공격은 카스퍼스키랩이 금융거래 처리와 연관된 시스템에서 의심스러운 DNS 요청을 탐지하면서 알려지게 됐다. DNS 요청을 보낸 곳이 넷사랑의 엑스매니저, 엑스쉘 등이었으며, 이 제품은 금융 서비스, 교육, 통신, 제조, 에너지, 교통 등에서 사용되는 제품이다.

카스퍼스키랩 분석 결과, 소프트웨어 최신 버전에 악성 모듈이 숨겨져 있었고, 악성 모듈이 의심스러운 요청을 발송한 것으로 드러났다. 감염된 소프트웨어의 업데이트가 설치된 후 악성 모듈이 C&C 서버인 특정 도메인으로 8시간에 한 번씩 DNS 쿼리를 보내기 시작한다.

이 요청에는 감염된 시스템의 기본 정보(사용자 이름, 도메인 이름, 호스트 이름)가 담겨 있다. 해커가 해당 시스템에 ‘관심을 가질’ 경우 커맨드 서버가 요청에 응답하고 준비를 모두 마친 백도어 플랫폼을 활성화시키면, 백도어가 자체적으로 피해자의 컴퓨터 내부에 몰래 배포된다. 그리고는 해커의 지시에 따라 백도어 플랫폼이 악성 코드를 추가로 다운로드하고 실행할 수 있다.

카스퍼스키랩은 넷사랑에 백도어 사실을 알렸으며, 넷사랑은 신속히 취약점 패치를 내놓고 피해 확산을 막았다.

박성수 카스퍼스키랩 글로벌 분석연구팀 책임연구원은 “넷사랑이 신속하게 대응으로 피해 확산을 막았으나, 이번 공격과 같은 방식은 대중적으로 쓰이는 다른 소프트웨어를 이용해 발생할 수 있다”며 “네트워크 활동을 모니터링하고 이상 징후를 감지할 수 있는 솔루션이 필수적으로 요구되는데, 이를 활용하면 해커들이 합법적인 소프트웨어 악성코드를 은밀하게 숨겨놓아도 위협 정황을 포착할 수 있을 것”이라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.