은밀하게 정보 가져가는 새로운 사이버공격 기법 발견

18개월 간 사용자 네트워크에 숨어 사용자 정보 확보

(지디넷코리아=남혁우 기자)은밀하게 사용자의 정보를 수집하는 새로운 사이버 공격기법이 발견됐다.

미국 지디넷에 따르면 시만텍의 사이버 보안연구원은 겉보기에 무해한 인터넷 정보 서비스(IIS) 로그에서 그동안 보고되지 않은 새로운 드롭퍼를 발견했다고 공식 홈페이지를 통해 밝혔다.

드롭퍼는 시스템에 바이러스, 백도어와 같은 악성코드를 설치하기 위해 설계된 악성 소프트웨어다.

(사진=PIxabay)

게파이로 명명된 이번 드롭퍼는 로그에서 명령을 읽는 새로운 기술을 사용하면서 발견됐다. 게파이를 조사한 결과 단푸안(Danfuan)이라는 또 다른 형태의 백도어 악성코드를 감염시키기 위한 것으로 나타났다.

단푸안 역시 이전에 발견되지 않은 악성코드다. 수신된 C# 코드를 컴파일하고 실행하는 다이나믹코드컴파일러다. 닷넷 동적 컴파일 기술을 기반으로 하며, 감염된 시스템의 백도어 역할을 한다.

사이버 보안기업들은 어려 악성코드로 이뤄진 이 공격세트르를 UNC3524(일명 크레인플라이)로 명명했다. 이어서 그룹의 기업 개발, 인수합병(M&A), 대기업 거래를 처리하는 직원의 이메일을 집중적으로 노리고 있다고 밝혔다.

지난 5월 처음 발표한 사이버 보안기업 맨디언트에 따르면 이 악성코드는 피해자의 네트워크 내부에서 18개월 이상을 보낼 수 있다. 또한 로드 밸런서 및 무선 액세스 등 보안 도구를 지원하지 않는 어플라이언스에 백도어를 설치해 탐지를 피할 수 있는 조치를 취할 수 있는 것으로 나타났다.

보안 연구원들은 공격에 사용된 방법이 매우 새롭고 은밀한 것이 정보 수집에 의해 동기를 부여받은 상당히 숙련된 위협 행위자의 작업임을 드러낸다고 분석했다.

시멘틱 위협 사냥 팀의 브릿지 오고먼은 “맞춤형 악성 코드와 도구를 개발하려면 모든 위협 행위자가 갖고 있지 않은 특정 수준의 기술과 리소스가 필요하다”며 “이번 공격의 뒤에 있는 사람들이 은밀하고 혁신적인 사이버 공격을 수행할 수 있는 수준의 기술을 보유하고 있음을 의미한다"고 말했다.

한 맨디언트의 연구원은 “공격에 사용한 기법이나 방법론을 살펴 봤을 때 러시아 기반 스 파이의 위협 행위자가 사용하던 기술과 비슷한 것 같다”고 말했다.

남혁우 기자(firstblood@zdnet.co.kr)