이 백도어는 공격자가 추가로 악성 모듈을 다운로드하거나 데이터를 훔치는 발판으로 사용된다. 카스퍼스키랩은 피해 소프트웨어 공급업체인 넷사랑에게 이 사실을 알리고, 넷사랑은 악성코드를 제거한 후 고객에게 업데이트를 배포했다.
카스퍼스키랩의 조사 결과 해당 SW 최신 버전 내부에 악성 모듈이 숨겨져 있었고, 이 악성 모듈이 의심스러운 요청을 발송한 것으로 드러났다. 감염된 SW 업데이트가 설치된 후 악성 모듈이 명령제어(C&C) 서버인 특정 도메인으로 8시간에 한 번씩 DNS 쿼리를 보내기 시작한다.
이 요청에는 사용자,도메인,호스트 이름 등 감염된 시스템의 기본 정보가 담겨 있다. 해커가 백도어 플랫폼을 활성화시키면, 백도어는 자체적으로 피해자 컴퓨터 내부에 몰래 배포된다. 이후 해커 지시에 따라 백도어 플랫폼이 악성코드를 추가로 다운로드하고 실행하게 된다.
카스퍼스키랩 연구진은 이 악성 모듈이 지금까지는 홍콩에서 활성화됐지만 다른 지역의 여러 시스템에도 휴면 상태로 숨어 있을 수 있으며, 사용자가 감염된 소프트웨어를 업데이트하지 않았다면 그 가능성이 특히 크다고 보고했다.
박성수 카스퍼스키랩 글로벌 분석연구팀 책임연구원은 '이번 사건은 네트워크 활동을 모니터링하고 이상 징후를 감지할 수 있는 우수한 솔루션이 절실하다는 점을 보여준다'며 '이러한 솔루션을 활용한다면, 해킹 조직이 합법적 소프트웨어에 악성코드를 아무리 복잡하게 숨겨놓아도 의심스러운 활동을 손쉽게 포착할 수 있을 것'이라고 말했다.
<최민지 기자>cmj@ddaily.co.kr
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
