ÃÖ±Ù ¹ß°ßµÈ ¹ðÅ· Æ®·ÎÀ̸ñ¸¶ Gozi º¯Çü, °´Ã¼»ðÀÔ ÇüÅ·Π½ÇÇà½ÃÄÑ
ÀÏ°¢¿¡¼ ÈÆ·Ã¿ë ¾Ç¼ºÄÚµå·Î ÀǽÉ...KISA ¡°¿ì¸® ÈÆ·Ã¿ë ¾Ç¼ºÄÚµå ¾Æ³Ä¡±
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ¡®Çѱ۰ú ÄÄÇ»ÅÍ º¸¾ÈÆÐÄ¡_hwp[2]¡¯ Á¦¸ñÀ¸·Î À§ÀåÇÑ ¾Ç¼ºÆÄÀÏ¿¡¼ ¿À·¡ ÀüºÎÅÍ ÁøÈÇØ¿Â ¹ðÅ· Æ®·ÎÀ̸ñ¸¶(Banking Trojan) ¡®Gozi¡¯°¡ ¹ß°ßµÆ´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â ±¹³»¿¡¼ 2016³â 10¿ù ÃÖÃÊ ¹ß°ßµÅ ÆÐÄ¡°¡ ¿Ï·áµÆÁö¸¸, ÃÖ±Ù µé¾î ±¹³»¿¡ ´Ù½Ã À¯Æ÷µÇ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. ±×·¯³ª ÀÏ°¢¿¡¼´Â ÇØ´ç ¾Ç¼ºÄڵ尡 ÈÆ·Ã¿ë ¾Ç¼ºÄÚµå¶ó´Â ÀDZ¸½Éµµ Á¦±âÇÏ°í ÀÖ¾î °ü½ÉÀÌ ¸ð¾ÆÁö°í ÀÖ´Ù.
¡ã¹ðÅ· Æ®·ÎÀ̸ñ¸¶ Gozi¸¦ ½ÇÇà½ÃÅ°´Â ÇÑ±Û ¾Ç¼ºÆÄÀÏ[À̹ÌÁö=https://info.phishlabs.com]
ÀÌ¿Í °ü·ÃÇØ PHISHLABS ºí·Î±×¿¡ µû¸£¸é Áö³ 28ÀÏ À§ÇùÁ¤º¸ ºÐ¼®°¡ Chris Schraml´Â ¡®Çѱ۰ú ÄÄÇ»ÅÍ º¸¾ÈÆÐÄ¡_hwp[2]¡¯¶õ Á¦¸ñÀ¸·Î ¡®º¸¾È Ãë¾àÁ¡ °ü·Ã Çʼö ¾÷µ¥ÀÌÆ®¡¯ ¾È³» ÆÄÀÏÀÌ ¹ß°ßµÆ´Ù¸ç, ÀÌ ÆÄÀÏÀº ¸ÅÅ©·Î ±â´ÉÀ» ¾Ç¿ëÇÑ ¾Ç¼ºÆÄÀÏÀ̶ó°í ¹àÇû´Ù.
ƯÈ÷, ÇØ´ç ¾Ç¼ºÆÄÀÏÀº ¡®KrCERT¡¯ °øÁö³»¿ëÀ¸·Î À§ÀåÇßÀ¸¸ç, ¸·»ó ÆÄÀÏÀ» ¿¾îº¸¸é ¾Ç¼ºÇàÀ§¸¦ ½ÇÇàÇÑ´Ù°í ¼³¸íÇß´Ù. º¸¾ÈÀ§ÇùÀ» ÇØ°áÇØ¾ß ÇÑ´Ù´Â ³»¿ëÀ¸·Î À§ÀåÇÏ°í ÀÖ´Â ¼ÀÀÌ´Ù. ÀÌ´Â »çÀ̹ö À§Çù °æ°í¿¡ º¸´Ù ÁÖÀǸ¦ ±â¿ïÀÌ°íÀÚ ÇÏ´Â ÀÌ¿ëÀÚÀÇ ½É¸®¸¦ ÀÌ¿ëÇÑ ÀüÇüÀûÀÎ »çȸ°øÇÐÀû ¼ö¹ýÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù.
Çѱ۰ú ÄÄÇ»ÅÍ º¸¾ÈÆÐÄ¡·Î À§ÀåÇÑ ÀÌ ¾Ç¼ºÆÄÀÏÀº »ç¿ëÀÚ°¡ ¿¾îº¸·Á°í ÇÒ ¶§ °æ°íâ ¸Þ½ÃÁö¸¦ ¶ç¿ö ÀÌ¿ëÀÚ°¡ ÀǽÉÇÏÁö ¾Êµµ·Ï Ŭ¸¯À» À¯µµÇÑ´Ù. ¶ÇÇÑ, »ç¿ëÀÚÀÇ ÀǽÉÀ» ÇÇÇϱâ À§ÇØ Him TrayIcon.exe¿Í HncCommTCP.exe¿Í °°Àº Á¤»ó ½ÇÇàÆÄÀÏÀ» ½ÇÇà½ÃŲ ÈÄ, Patch39 µî ¿©·¯ ¾Ç¼º ÇàÀ§°¡ ´Ü°èÀûÀ¸·Î ½ÇÇàµÇµµ·Ï ÇÏ´Â OLE ÆÐÅ°Áö ±â´ÉÀÌ Æ÷ÇԵƴÙ. Patch39 ÆÄÀÏÀÌ ½ÇÇàµÇ¸é 2´Ü°è ÆÄÀÏÀÎ Gozi°¡ ´Ù¿î·ÎµåµÈ´Ù.
°ú°Å ¹ß°ßµÈ ¹ðÅ· Æ®·ÎÀ̸ñ¸¶ Gozi´Â ¸ÅÅ©·Î ±â´ÉÀ» ¾Ç¿ëÇØ »ç¿ëÀÚ¸¦ °¨¿°½ÃÅ°´Âµ¥, ÇÑÄÄ HWP ÆÄÀÏÀ» ¾Ç¿ëÇØ Çѱ¹¾î »ç¿ëÀÚ¸¦ Ç¥ÀûÀ¸·Î »ï°í ÀÖ´Ù. Çѱ۹®¼ÀÎ HWP ÆÄÀÏÀº Á¤ºÎ, ±â°ü, ±â¾÷ µî ±¤¹üÀ§ÇÏ°Ô »ç¿ëµÅ ÇØÄ¿°¡ APT(Advanced Persistent Threat) °ø°Ý¿¡ ´Ü°ñ·Î »ç¿ëÇϱ⠶§¹®ÀÌ´Ù.
ÇØÄ¿´Â 2016³â ÆÐÄ¡µÈ ¾Æ·¡ÇÑ±Û ÇÁ·Î±×·¥¿¡¼ ÀÓÀÇ ÄÚµå ½ÇÇà Ãë¾àÁ¡À» ÀÌ¿ëÇß´Ù. ÇØÄ¿´Â Ư¼öÇÏ°Ô Á¶ÀÛÇÑ À¥ÆäÀÌÁö ¹æ¹®À» À¯µµÇϰųª, À¥ °Ô½Ã¹°, ¸ÞÀÏ, ¸Þ½ÅÀúÀÇ ¸µÅ© µîÀ» ÅëÇØ Æ¯¼öÇÏ°Ô Á¶ÀÛµÈ ¹®¼¸¦ ¿¾îº¸µµ·Ï À¯µµÇØ ÀÓÀÇÄڵ带 ½ÇÇà½Ãų ¼ö ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
¡ãGozi°¡ 2À§ÀÎ ¹ÙÀÌ·¯½º Åë°è ȸé[À̹ÌÁö=SecureReading ȨÆäÀÌÁö]
»Ó¸¸ ¾Æ´Ï¶ó 10¿ù 27ÀÏ SecureReading¿¡ µû¸£¸é °ø°Ý º¼·ý ´ç °¡Àå ¸¹ÀÌ Å½ÁöµÈ ¹ðÅ· ¸È¿þ¾î Áß Gozi ¾Ç¼ºÄڵ尡 2À§·Î 21%¸¦ Â÷ÁöÇß´Ù.
ÀÌ·¯ÇÑ °¡¿îµ¥ ÃÖ±Ù ÇØ´ç Ãë¾àÁ¡À» ¾Ç¿ëÇÑ Gozi ¾Ç¼ºÄڵ尡 ±¹³»¿¡¼ ÀÕµû¶ó ¹ß°ßµÈ °ÍÀÌ´Ù. ƯÈ÷, ¿ì¸®³ª¶ó¸¦ °Ü³ÉÇÑ °ø°ÝÀ¸·Î Àǽɵǰí ÀÖ´Â »óȲÀÌ´Ù. ÀÌ¿Í °ü·Ã º»Áö ÃëÀç°á°ú ÃÖ±Ù µé¾î ÇØ´ç ¾Ç¼ºÄÚµåÀÇ º¯ÇüÀÌ 29ÀϱîÁö ¹ß°ßµÈ °ÍÀ¸·Î È®ÀεƴÙ.
ÇÑ º¸¾ÈÀü¹®°¡´Â ¡°Gozi ¾Ç¼ºÄÚµå´Â ¸î ³â ÀüºÎÅÍ È°µ¿ÇÑ ¾Ç¼ºÄÚµå·Î °ú°Å ¿Ü±¹ ÀÎÅͳݹðÅ· »ç¿ëÀÚ¸¦ ³ë·È´Ù. ±×·±µ¥ ÀÌÁ¦´Â Á¤º¸ Å»Ãë ¸ñÀûÀ¸·Î Çѱ¹Àεµ ´ë»óÀ¸·Î ÇÑ °ÍÀ¸·Î º¸Àδ١±¸ç ¡°ÃÖ±Ù ±¹³»¿¡¼ ¹ß°ßµÈ º¯Çü ¾Ç¼ºÆÄÀÏÀ» º¸¸é Çѱ¹ ´ë»óÀÚ¸¦ ¸ñÇ¥·Î ÇÑ ÇÑ±Û ÆÄÀÏ(hwp)À» ÀÌ¿ëÇÏ°í ÀÖ´Ù. ÇÑ±Û ¹®¼¿¡´Â ±×³É °´Ã¼ »ðÀÔ ÇüÅ·Π÷ºÎÆÄÀÏ ÀÚü°¡ ¾Ç¼ºÄڵ塱¶ó°í ¹àÇû´Ù.
¶ÇÇÑ, ÀÏ°¢¿¡¼´Â ÇöÀç ¸ðÀÇÈÆ·Ã ±â°£ÀÎ ¸¸Å ÈÆ·Ã¿ë ¾Ç¼ºÄÚµå °¡´É¼º¿¡µµ ÁÖ¸ñÇØ¾ß ÇÑ´Ù´Â ÀÇ°ßÀÌ Á¦±âµÆ´Ù. ÀÌ¿¡ ´ëÇØ Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) À̵¿±Ù ´ÜÀåÀº ¡°ÇØ´ç ¾Ç¼ºÄÚµå¿Í °ü·ÃÇØ ÈÆ·Ã¿ë ¾Ç¼ºÄÚµå ¾Æ´Ï³Ä´Â ¹®ÀǸ¦ ¸¹ÀÌ ¹Þ°í ÀÖ´Ù¡±¸ç ¡°KISA¿¡¼ ÁøÇàÇÏ´Â ÈÆ·Ã¿ë ¾Ç¼ºÄÚµå´Â ¾Æ´Ï¸ç, ½ÇÁ¦ ÇØ´ç ¾Ç¼ºÄÚµå´Â ±¹³»¿¡¼µµ ŽÁöµÇ°í ÀÖ´Ù¡±°í ¹àÇû´Ù. ÇÏÁö¸¸ ´Ù¸¥ ±â°ü ¶Ç´Â ±â¾÷¿¡¼ÀÇ ÈÆ·Ã¿ë ¾Ç¼ºÄÚµåÀÏ °¡´É¼º¿¡ ´ëÇØ ¿ÏÀüÈ÷ ¹èÁ¦ÇÏÁö´Â ¾Ê¾Ò´Ù.
ÇöÀç ±¹³»¿¡¼ ÇØ´ç ¾Ç¼ºÄڵ尡 µ¹°í ÀÖ´Â ¸¸Å ÀÌ¿ëÀÚ´Â ÈÆ·Ã¿ë ¿©ºÎ¸¦ ¶°³ª ÇØ´ç ¾Ç¼ºÄڵ忡 °¨¿°µÇÁö ¾Êµµ·Ï ÇÑ±Û ÆÄÀÏ°ú ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¼³Ä¡ÇØ À¯ÁöÇÏ´Â °ÍÀÌ ¹Ù¶÷Á÷ÇÏ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>