게임ㆍ파밍 악성파일, 동일조직이 10년 넘게 유포

입력: 2014-07-03 15:45 강은성 기자

폰트

잉카인터넷 시큐리티대응센터(ISARC)는 최근까지 국내에 다량으로 유포되고 있는 온라인게임 계정 및 파밍 기능의 악성파일 개발조직이 10년 넘게 장기간 활동 중이라고 3일 밝혔다.

해당 악성파일 유포 조직은 지난 2004년 전후부터 2014년 현재까지 중국어 기반의 프로그래밍으로 국내 주요 웹 사이트를 상대로 수천 종 이상에 달하는 신/변종 악성파일을 전파시키고 있는 것으로 밝혀졌다.

잉카인터넷 측은 "국내에 다년 간 유포된 한국 맞춤형 악성파일의 유사성 및 연관관계를 조사하고 추적 관찰한 결과 흥미롭게도 대략 10년 전의 악성파일과 현재의 악성파일에서 공통적으로 사용된 코드가 존재한다는 점을 발견했다"면서 "동일한 악성파일 알고리즘이 지속적으로 이용되고 있다는 정황 단서들도 다수 확보했다"고 전했다.

과거 수년 동안 국내 불특정다수의 이용자들을 대상으로 무차별적으로 전파된 대표적인 주요 악성파일들에서 서로 이어지는 연결고리와 특수한 공통 단서들이 존재한다는 점은 그 동안 국내를 기반으로 수행된 사이버범죄가 최소한 하나의 조직(그룹)이나 특정한 누군가에 의해 주도 면밀하게 자행되고 있다는 `증거'라는 것이 잉카인터넷 측의 주장이다.

먼저 2004~2006년 사이에 주로 이용된 국내 온라인 게임 계정 탈취형태의 악성파일은 `어스웜(Earthworm)', `터틀(Turtle)' 이라는 고유한 변수이름을 내부적으로 이용했는데, 2007년~2012년 사이 국내에 유포된 대표적인 악성 파일들에서도 해당 변수가 공통적으로 사용하고 있다는 점이 확인됐다. 명령제어서버(C&C)에서 추가 악성파일을 다운로드 할 때 사용하는 명령어나 파일 등록기법들이 모두 동일하게 일치했다.

2012년 전후부터 한국 이용자를 겨냥한 인터넷 뱅킹용 악성파일이 본격적으로 발견이 되었는데, 기존 온라인 게임 계정 탈취기능의 악성파일이나 특정 웹 사이트 관리자 계정 수집용 악성파일들이 보유하고 있던 내부 바이너리명(MYDLL)도 일치했고, 주요 악성 프로그램 기능 구조도 거의 동일했다고 회사측은 설명했다.
특히 아직도 국내를 상대로 한 각종 악성파일 유포의 배후는 베일에 가려져 있고, 10년 넘게 유포된 악성파일이 동일한 조직이나 사람에 의해서 집중적으로 개발되고 있다는 점에서 좀더 다양한 보안대안이 마련되어야 할 것이라고 회사측은 강조했다.

문종현 잉카인터넷 시큐리티대응센터 팀장은 "국내 이용자들의 중요 정보를 노린 공격이 갈수록 고도화/지능화되고 있고, 매우 은밀하면서도 지속적인 공격활동을 10년 넘게 수행하고 있다는 것을 공식 확인할 수 있었다"면서 "각종 보안취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 인터넷 이용자들은 항시 보안제품을 설치하고 최신 버전으로 업데이트해야 한다"고 강조했다.

강은성기자 esther@

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

게임ㆍ파밍 악성파일, 동일조직이 10년 넘게 유포

이 시간 핫클릭

핫 이슈!