코딩된 사진과 트위터를 결합해 사용자 정보를 빼내가는 악성코드 하머토스(Hammertoss)가 발견됐다고 사이버보안업체 파이어아이를 인용해 BBC가 30일 보도했다.
트위터. |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
하머토스는 러시아 해킹 그룹이 만든 것으로 추정된다. 트위터와 코딩 사이트 기트허브(Github)를 활용해 온라인에 사진을 올려 사용자 PC를 공격한다.
BBC는 하머토스가 일명 ‘스테가노그래피(steganography)’라 불리는 암호화 기술이 쓰인 명령을 몇 번 반복하고 나면 피해자 네트워크를 통해 연결된 클라우드 스토리지 서비스 계정에 접근, 정보를 업로드하는 것도 가능하다고 전했다. 개인 전자기기는 물론 피해가 전방위로 확산될 수 있는 셈이다.
스테가노그래피는 이미지 속 픽셀 색상을 정의하기 위해 사용되는 값을 일정 부분 조정하는 기술이다. 24비트(bit) 이미지에서 각각 픽셀은 빨강(R), 초록(G), 파랑(B) 등 세 가지 색상 중 하나로 정의된다. 사람이 발견할 수 있을 정도로는 아니지만 이를 살짝 조절한다. 가벼운 소프트웨어나 참조용 이미지에선 이 변화를 볼 수 있다.
어떤 공격이 가해질지 모르는데다 공격 내용에 여러 부분을 한 번에 담을 수 있어 안티-바이러스 소프트웨어가 차단하거나 이 악성코드가 검출되지 않도록 하는 게 더 어렵다는 설명이다.
파이어아이는 ‘그룹 APT29’라는 러시아 해킹 그룹을 악성코드 유포자로 지목했다. 이 그룹은 데이터를 탈취하는 걸 목적으로 한다. 이 악성코드는 러시아 휴일에 움직임을 중단하기도 했다. 유럽연합(EU) 법 집행기관인 유로폴을 조언하고 있는 알란 우드워드 교수는 “이 악성코드는 스스로 이미지를 첨부하진 않지만 여러 지침을 한 데 모아 한 번에 실행하도록 하는 건 가능하다”고 말했다.
해커들이 자신들의 정체를 숨기기 위해 이같은 방법을 활용한다는 설명이다. 알란 우드워드 교수는 “악성코드 조각들이 전체 코드로 모이면 명령 및 제어 서버가 있는 위치를 식별하는 게 가능할 수도 있다”며 “하지만 악성코드가 실제 영역이 아닌 데이터 어딘가에 숨어있다면 해커가 누군지 분석하는 것은 더욱 어려운 작업이 될 것”이라고 전했다.
김주연기자 pillar@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.