국내 금융·보험사를 대상으로 기존 탐지 시스템을 우회하는 악성코드가 발견됐다. 다층 난독화로 잠입해 흔적 없이 네트워크에 잠복한다. 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다 등 여러 국가 금융서비스와 보험 분야가 타깃이다.
파이어아이(지사장 전수홍)는 다층 난독화 잠입으로 네트워크에 잠복하며 하드디스크를 손상시키는 악성코드 ‘레이튼트봇(LATENTBOT)’을 발견했다고 28일 밝혔다. 한국은 해당 악성코드 타깃 국가일 뿐만 아니라 명령제어(CnC) 서버로 악용돼 각별한 주의가 요구된다.
파이어아이에 따르면 레이튼트봇은 2013년에 생성돼 한국을 비롯한 여러 국가에 수차례 공격을 감행했다. 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다. 은밀한 잠입이 특징이다.
레이튼트봇 악성코드 실제 ‘악성’ 코드는 필요한 최소 기간 동안만 메모리에 남는다. 대부분 감염 데이터는 프로그램 리소스나 레지스트리에서 발견된다. CnC 통신 암호화에 포함되는 개별화된 암호 알고리즘이 각기 다른 요소에 나뉘어 존재해 바이너리를 탐지하기 어렵다.
잠입 시에도 여러 단계에 걸쳐 시스템을 장악한다. 악성 워드 파일이 첨부된 이메일을 송부한 이후 지속적으로 .NET 바이너리로 위장한 레이튼트봇을 잠입시킨다. 보안 솔루션을 우회해 아웃바운드 콜백 추적과 차단 기능을 갖춘 보안 솔루션이 필요하다.
전수홍 파이어아이 지사장은 “APT 공격이 지능화되면서 기존 AV프로그램으로 탐지하기 어려운 악성코드가 등장한다”며 “파이어아이는 행동 기반 분석 시스템으로 알려지지 않은 악성코드까지 효과적으로 탐지·대응 가능한 솔루션을 제공한다”고 말했다.
박정은기자 jepark@etnews.com
