[아이뉴스24 김국배기자] 카스퍼스키랩은 소프트웨어(SW) 업체 넷사랑(NetSarang)의 서버 관리 SW 제품에 설치된 백도어를 발견했다고 24일 발표했다.
이 백도어는 공격자가 추가로 악성 모듈을 다운로드하거나 데이터를 훔치는 데 사용된다.
카스퍼스키랩은 넷사랑에 이를 알려 현재 악성코드를 제거하고 고객에게 업데이트를 배포한 상태다.
카스퍼스키랩은 지난 7월 파트너 금융기관의 보안 전문팀으로부터 제보를 받고 심층 조사를 진행한 결과 해당 SW 최신 버전 내부에 악성 모듈이 숨겨진 것을 찾아냈다.
감염 SW 업데이트가 설치되면 악성 모듈이 명령제어(C&C) 서버인 특정 도메인으로 8시간마다 도메인네임시스템(DNS) 쿼리를 보낸다. 이 요청에는 사용자 이름, 도메인 이름, 호스트 이름 등 감염 시스템 기본 정보가 담긴다.
해커가 해당 시스템에 관심을 갖을 경우 커맨드 서버가 요청에 응답한다. 준비를 마친 백도어 플랫폼을 활성화시키면 백도어가 자체적으로 피해자 컴퓨터 내부에 몰래 배포된다. 해커 지시에 따라 백도어 플랫폼이 악성코드를 추가로 다운로드하고 실행하게 되는 것이다.
카스퍼스키랩 연구진은 확신하긴 어렵지만 중국어 기반 사이버 스파이 조직으로 알려진 '윈티(Winnti) APT'가 사용하는 '플러그엑스(PlugX)' 악성코드 변종일 가능성이 있다고 결론내렸다.
박성수 카스퍼스키랩 글로벌 분석연구팀(GReAT) 책임연구원은 "섀도우패드는 공급망 공격이 성공을 거둘 때 얼마나 위험하고 광범위할 수 있는지 잘 보여준다"며 "네트워크 활동을 모니터링하고 이상 징후를 감지할 수 있는 우수한 솔루션이 대기업에게 절실하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기