7일 오후부터 다수 국내 웹사이트에서 유포돼…암호화로직 등 3.20 당시 코드와 동일
지난해 3.20 사이버테러 당시 발견됐던 악성코드의 최신 변종 시리즈가 유포돼 보안업계가 크게 긴장하고 있다. 3.20 당시 해커조직이 또 다른 대형 사이버테러를 기획하고 있는 것 아니냐는 관측이 제기되고 있다.
보안업체인 하우리에 따르면, 7일 오후 1시부터 다수의 국내 웹사이트에서 국내 온라인 결제모듈 액티브X 업데이트 파일 변조 취약점과 국내 DRM(저작권보호) 제품 모듈 액티브X 취약점 등을 이용한 3.20 악성코드 변종이 유포됐다.
해당 악성코드에 감염될 경우, 감염 정보가 명령중계(C&C) 서버에 전송되고, 추가적인 명령을 수신하는 구조다. 하우리 분석결과, 1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판 취약점을 이용해 C&C서버를 확보한 것으로 추정된다.
특히 이들 서버 중 일부는 지난해 3.20 방송, 금융 사이버테러의 악성코드가 접속된 C&C 서버와 일치하는 것으로 드러났다. 아울러 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3.20 악성코드와 동일하다는 게 하우리측 설명이다.
이번에 발견된 악성코드는 방화벽과 네트워크탐지시스템 등 기업의 보안시스템을 우회하기 위해 C&C 서버와 좀비PC간 교신하는 트래픽을 암호화하는 '익명 네트워크(TOR)' 서버를 2차 C&C서버로 사용한 것으로 확인됐다.
최상명 하우리 차세대보안연구센터장은 "1차 C&C서버와 2차 TOR C&C 서버를 통해 추가로 수신하는 암호화 명령을 해독 중이며, 현재 상황을 예의주시하고 있다"고 밝혔다.