[김국배기자] 지난해 방송사와 금융사를 대상으로 발생한 3·20 사이버테러에 등장했던 악성코드의 최신 변종이 유포된 정황이 포착됐다.
하우리(대표 김희천)에 따르면 지난 7일 오후 1시경부터 다수의 국내 웹사이트를 통해 온라인 결제모듈과 디지털저작권관리(DRM) 제품 모듈 액티브X 취약점을 악용한 3·20 악성코드의 변종이 유포됐다.
해당 악성코드에 감염되면 감염 정보를 1차 중앙명령제어(C&C) 서버로 전송하며 추가적인 명령을 수신해 악성행위를 수행하게 된다. 1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판을 사용하는 웹사이트다.
특히 해당 악성코드가 접속하는 C&C 서버 중 일부는 지난 2013년 3·20 사이버테러의 악성코드가 사용한 C&C 서버와 일치한다. 또 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직 또한 당시에 사용된 것과 같다.
1차 C&C 서버로부터 명령을 수신 받아 추가적으로 다운로드해 실행하는 악성코드는 토르 C&C 서버를 2차 C&C 서버로 사용한다. 토르 C&C는 작년 6월 25일에 정부 도메인네임시스템(DNS) 서버를 대상으로 디도스(DDoS) 공격을 수행한 악성코드가 사용한 바 있다.
하우리 최상명 차세대보안연구센터장은 "작년과는 다르게 관제를 강화한 결과 3·20 악성코드의 최신 변종 시리즈를 조기에 발견하게 됐다"며 "1차 C&C 서버와 2차 토르 C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중"이라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기