세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
백도어 발견된 넷사랑컴퓨터 사건, 어디까지 조사됐나
  |  입력 : 2017-08-22 11:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해당 백도어, 소비자측에서 해당 프로그램 사용하다 발견
악성코드 활동 없고 추가 탐지도 없어...악성코드 목적과 성격은 조사중
보안전문가, 프로그램 업데이트보단 운영체제 재설치 권장


[보안뉴스 김경애 기자] 본지가 지난 8일 최초 보도한 데 이어 외신에서도 다수 보도하면서 이슈가 된 넷사랑컴퓨터 소프트웨어 악성코드 사건의 윤곽이 드러나는 모양새다. 악성코드를 분석한 카스퍼스키랩은 지난 15일 사이버 스파이 악성코드의 일종인 ‘셰도우패드(ShadowPad)’ 백도어라고 밝혔으며, 조사를 맡고 있는 한국인터넷진흥원(KISA) 역시 현재까지 백도어에 무게중심을 두고 있다.

▲백도어 악성코드가 발견돼 공지사항에 올린 넷사랑 컴퓨터 웹사이트 화면[사진=넷사랑 컴퓨터 웹사이트 캡처]


지금까지 확인된 바에 따르면 넷사랑 측은 “문제의 빌드에서 악성코드를 발견했다”며 “해당 악성코드는 인터넷 연결을 위해 DNS 질의 과정 중에 탐지됐다”고 밝혔다. 또한, 문제의 빌드가 설치된 PC를 백신으로 전체검사 해도 문제가 되는 nssock2.dll 외에 추가적으로 탐지되는 악성코드는 없었다고 덧붙였다.

하지만 해당 악성코드의 목적과 성격에 대해서는 아직 최종 결과가 나오지 않은 상태다. 현재 악성코드는 활동하지 않고 있으며, 자체 증식 기능은 없는 것으로 조사됐다.

현재까지 조사된 사항에 대해 한국인터넷진흥원 이동근 단장은 “악성코드는 소비자가 해당 프로그램을 사용하다 발견하게 됐다”며 “카스퍼스키랩이 분석한 바와 같이 백도어로 판단하고 있으며, 피해 상황도 해외에 발견된 1곳 빼고는 아직 드러나지 않은 상태다. 하지만 자세한 피해규모 등에 대해서는 정확하게 확인중”이라며 진행사항을 설명했다.

▲바이러스 토탈에서 Xshell 설치파일에 악성코드가 포함된 것을 진단한 화면[사진=바이러스 토탈 캡처]


현재 위협정보 공유 사이트인 바이러스 토탈(VirusTotal)에서는 안랩, 알약, 카스퍼스키, 체크포인트 등의 백신 엔진에서 Xshell 설치 파일에 악성코드가 포함됐음을 진단하고 있으며, 지난 8월 7일 이후부터는 백신에 업데이트돼 탐지되고 있다.

이번에 발견된 악성코드를 분석한 그레이해쉬 측은 “악성코드는 PE파일 내부에 코드와 데이터로 안착돼 있고, 서명이 유효하고 빌드 전에 포함돼 배포됐다는 점에서 개발자 컴퓨터나 빌드 서버도 공격당했을 수도 있다”며 “악성코드 파일에 사용된 인증서와 새로 업데이트된 파일에 사용된 인증서가 같다”고 우려했다.

해당 제품을 설치하면 ‘c:\program files(x86)\NetSarang\[프로그램]\nssock2.dll’ 경로에 nssock2.dll 파일이 있는데 악성코드가 추가되어 있다. 악성코드가 실행되면 UDP로 서버에 연결하여 데이터를 주고받는다.

감염된 nssock2.dll 파일을 분석해 보면 UDP 서브도메인 쿼리를 통해 서버와 통신하는 코드가 있다. 하지만 현재는 연결이 안되는 상태이다. 이에 대해 그레이해쉬 측은 “UDP통신인 도메인 쿼리를 통해 서버와 통신하지만 도메인을 내린 것으로 보인다”며 “악성코드가 대략 8시간 정도 기다렸다 실행되는데, 현재는 도메인 연결이 끊어져 정상적인 통신이 이루어지지 않는 상태”라고 분석했다.

넷사랑컴퓨터 측은 문제의 빌드 확인 방법에 대해 3가지를 공지했다. 첫째, 안티 바이러스 프로그램이 감지해 삭제하는 방법이다. 이는 카스퍼스키랩과의 협조 아래 악성코드 정보가 제공돼 백신을 업데이트했다면 이미 삭제됐을 가능성도 있다.

▲감염된 nssock2 파일 크기[사진=그레이해쉬 제공(GRAYHASH)]


둘째, c:\program files (x86)\NetSarang\[프로그램]\nssock2.dll 파일 크기가 180,432바이트라면 악성코드가 포함된 문제의 파일이라고 볼 수 있다는 설명이다.

셋째, 프로그램을 실행 중인 경우 도움말의 프로그램 이름 정보를 확인해 감염 여부를 확인할 수 있다. 따라서 감염됐을 경우 프로그램을 바로 중지하고 업데이트를 진행해야 한다.

이번 사건과 관련해 보안전문가들은 프로그램을 새로 설치하거나 업데이트를 하기 보단 운영체제를 다시 설치할 것을 권장하고 있다. 이는 공격 서버가 닫혀 있어 문제의 악성코드가 어떤 일을 했는지 알 수 없기 때문에 다른 백도어를 컴퓨터에 심어놨을 가능성을 배제할 수 없기 때문이다.

이와 관련 그레이해쉬 측은 “제품 패키지에 악성코드가 함께 첨부돼 사용자들에게 퍼진 상태이고, 서버 연결 기능을 가진 제품이기 때문에 해당 기업에서는 서버의 계정 정보가 유출됐을 가능성도 염두해야 한다”며 “기업에서 제공한 업데이트 패치가 있긴 하지만, 삽입된 악성코드가 새로운 악성코드를 다운받아 추가로 설치했을 가능성도 아직 배제할 수 없기 때문에 운영체제를 다시 설치할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)