국내 기업들의 정보 탈취를 목적으로 하는 신종 악성코드가 발견됐다. 기업들의 각별한 주의가 요구된다.

시만텍코리아는 27일 최근 한국 기업을 겨냥한 신종 악성코드인 트로이목마 '듀저'가 발견됐다며 주의를 당부했다. 듀저는 트로이목마 '조납', 웜바이러스 '브램블'처럼 한국을 겨냥하고 있다는 설명이다.

시만텍 보안위협대응센터에 따르면 '듀저'는 한국 기업 및 기관들을 주로 겨냥하고 있으며 '듀저'에 감염되면 컴퓨터를 완전히 장악해서 데이터를 탈취하는 것으로 밝혀졌다. 시만텍은 "듀저 감염 경로는 이메일에 포함된 인터넷 주소 링크나 특정 웹사이트 접속을 통하는 것으로 추정된다"고 밝혔다.

듀저 트로이목마 악성코드는 32비트와 64비트 컴퓨터에서 모두 작동하며 일단 컴퓨터를 감염시키면 ▲시스템 및 드라이브 정보 수집 ▲프로세스 생성·나열 및 종료 ▲파일 접근·변경 및 삭제 ▲파일 업로드 및 다운로드 ▲파일의 시간 속성 변경 ▲명령어 실행 등의 작업을 수행할 수 있다.

공격자들은 악성코드 이름을 컴퓨터에 설치된 합법적인 소프트웨어와 비슷하게 변경해 감염된 사실을 숨겼다. 시만텍은 "듀저 공격자들은 경험이 많고 보안 전문가의 분석 기법에 대해 잘 알고 있는 것으로 예상된다"며 "표적 대상 기업의 컴퓨터에서 중요한 정보를 탈취하려는 의도를 가진 것 같다"고 밝혔다.

듀저 공격자들은 더 많은 한국 기업들을 공격하기 위해 웜 바이러스 브램블과 트로이목마 조납도 함께 활용했다. 브램블에 감염된 컴퓨터중 일부는 듀저에도 감염됐으며 듀저 공격의 명령제어(C&C) 서버로 이용되기도 했다.

브램블은 무작위로 숫자·문자 등을 입력해 비밀번호를 알아내는 무차별대입 공격을 통해 전파되며 사용자 이름·비밀번호 목록을 사용한 서버 메시지 블록(SMB) 프로토콜을 통해 임의 IP주소로 연결한다. 이때 사용되는 비밀번호는 '123123', 'abc123', 'computer', 'iloveyou', 'login', 'password' 등과 같이 흔하게 사용되는 것들이다.

조납은 브램블과 함께 설치되며 '스마트카드 프로텍터'라는 이름을 사용한다. 이 악성코드는 공격자에 특정 파일 전송·파일 저장 및 삭제·실행파일 다운로드 및 실행·프로세스 시작 및 종료 등을 수행할 수 있다.

시만텍은 개인 및 기업이 이러한 악성코드 공격을 예방법으로 ▲기본 설정된 사용자 이름과 비밀번호 변경 ▲예측 가능한 비밀번호 사용하지 않기 ▲운영체제나 소프트웨어의 주기적 업데이트 ▲의심스러운 이메일 열지 않기 등을 꼽았다.

시만텍코리아 제품기술본부 윤광택 상무는 "이번에 발견된 듀저·브램블·조납은 모두 특히 한국의 제조 기업들을 집중 겨냥한 악성코드로 정보 탈취를 목표로 한 산업스파이 성격이 강하다"며 "기업의 기밀 유출이 되지 않도록 인프라 차원의 대비와 함께 사용자의 각별한 주의가 필요하다"고 강조했다.

- IT에 대한 재미있는 이야기를 듣고 싶으세요? [아이티 깡패 페이스북 페이지]