트위터로 공격하는 악성코드 발견... 찾기도 어려워

트위터를 활용해 데이터를 빼내가는 악성코드가 발견됐다. 사전에 탐지하기 쉽지 않아 사용자 주의가 필요하다는 지적이다.

코딩된 사진과 트위터를 결합해 사용자 정보를 빼내가는 악성코드 하머토스(Hammertoss)가 발견됐다고 사이버보안업체 파이어아이를 인용해 BBC가 30일 보도했다.

트위터.
트위터.

하머토스는 러시아 해킹 그룹이 만든 것으로 추정된다. 트위터와 코딩 사이트 기트허브(Github)를 활용해 온라인에 사진을 올려 사용자 PC를 공격한다.

BBC는 하머토스가 일명 ‘스테가노그래피(steganography)’라 불리는 암호화 기술이 쓰인 명령을 몇 번 반복하고 나면 피해자 네트워크를 통해 연결된 클라우드 스토리지 서비스 계정에 접근, 정보를 업로드하는 것도 가능하다고 전했다. 개인 전자기기는 물론 피해가 전방위로 확산될 수 있는 셈이다.

스테가노그래피는 이미지 속 픽셀 색상을 정의하기 위해 사용되는 값을 일정 부분 조정하는 기술이다. 24비트(bit) 이미지에서 각각 픽셀은 빨강(R), 초록(G), 파랑(B) 등 세 가지 색상 중 하나로 정의된다. 사람이 발견할 수 있을 정도로는 아니지만 이를 살짝 조절한다. 가벼운 소프트웨어나 참조용 이미지에선 이 변화를 볼 수 있다.

어떤 공격이 가해질지 모르는데다 공격 내용에 여러 부분을 한 번에 담을 수 있어 안티-바이러스 소프트웨어가 차단하거나 이 악성코드가 검출되지 않도록 하는 게 더 어렵다는 설명이다.

파이어아이는 ‘그룹 APT29’라는 러시아 해킹 그룹을 악성코드 유포자로 지목했다. 이 그룹은 데이터를 탈취하는 걸 목적으로 한다. 이 악성코드는 러시아 휴일에 움직임을 중단하기도 했다. 유럽연합(EU) 법 집행기관인 유로폴을 조언하고 있는 알란 우드워드 교수는 “이 악성코드는 스스로 이미지를 첨부하진 않지만 여러 지침을 한 데 모아 한 번에 실행하도록 하는 건 가능하다”고 말했다.

해커들이 자신들의 정체를 숨기기 위해 이같은 방법을 활용한다는 설명이다. 알란 우드워드 교수는 “악성코드 조각들이 전체 코드로 모이면 명령 및 제어 서버가 있는 위치를 식별하는 게 가능할 수도 있다”며 “하지만 악성코드가 실제 영역이 아닌 데이터 어딘가에 숨어있다면 해커가 누군지 분석하는 것은 더욱 어려운 작업이 될 것”이라고 전했다.

김주연기자 pillar@etnews.com