IBM의 보안 자회사인 트러스티어(Trusteer)에 따르면 전 세계 PC 500대 중 1대가 멀웨어인 시타델(Citadel)에 감염되어 있다고 한다. 시타델은 암호 관리 프로그램과 추가 인증을 돌파하는 정교한 악성코드로 이미 전 세계적으로 수백만 명의 PC가 감염된 트로이목마 악성코드라고.
시타델에 감염된 PC는 서버와의 통신 채널을 열어 악성코드를 등록한다. 이후 악성코드가 환경 설정 파일에 접근, 다양한 정보를 캡처하고 모든 기능을 수행하게 할 수 있을 뿐 아니라 기존 C&C 서버를 대체 서버로 바꿔 머신 컨트롤을 가능하게 한다는 것. 따라서 악성코드가 C&C서버와 통신하는 한 환경 설정 파일 정보를 업데이트해도 정보를 얻을 수 있다.
트러스티어는 앞서 설명했듯 전 세계 시타델 감염률이 평균 잡아 500대 중 1대 꼴이라고 밝혔다. 이미 수백만 대에 달하는 PC가 시타델에 감염되어 있는 만큼 공격자가 쉽게 감염된 PC에 공격을 할 수 있다는 얘기다. 또 시타델은 대부분 보안 시스템에 감지되지 않는다.
트러스티어 측은 연구 과정에서 암호 관리자와 인증 과정을 공격하는 시타델의 구성을 발견했다. 감염 PC를 통한 프로세스 진행 중 키 로깅을 실시, 해커에게 전체 목록에 대한 접근을 허용해버린다.
트러스티어는 이런 악성코드의 등장 등으로 오는 2016년 리소스에 대한 접근을 위한 암호 자체가 없어질 것으로 내다보고 있다. 아이디와 암호 대신 얼굴이나 홍채 인식, 음성 데이터나 DNA 정보 같은 생물학적 측정 데이터가 쓰이게 될 것이라는 전망이다.
암호 인증 시스템이 바뀔 때까지는 탐지 정확성이 높은 보안 시스템을 써서 시타델 같은 악성코드에 감염되지 않은 PC를 써야 한다는 설명이다. 또 일부 프로그램(neXus Personal Security Client, Password Safe, KeePass) 사용을 자제해야 한다고 경고했다. PC 뿐 아니라 안드로이드 기기에서도 암호 관리용 앱을 쓰고 있지만 데이터 도청이 가능하다는 보도가 나오는 만큼 암호 관리 프로그램은 신중하게 선택해야 할 필요가 있다는 설명이다.
전자신문인터넷 테크홀릭팀
이원영IT칼럼니스트 techholic@etnews.com