Home > 전체기사

중국의 골든스파이 백도어, 현재까지 발견된 언인스톨러가 5개

  |  입력 : 2020-08-18 13:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국에서 사업하려는 해외 사업자라면 반드시 설치해야 하는 소프트웨어 통해 퍼져
골든스파이 존재 드러나자 부랴부랴 지우려는 배후 세력...언인스톨러만 5개 발견돼


[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)의 전문가들이 현재까지 찾아낸 골든스파이 언인스톨러가 5개라고 한다. 골든스파이(GoldenSpy)는 일종의 백도어로, 중국 정부가 해외 기업들에 반드시 설치하라고 요구하는 세금 소프트웨어에서 발견됐다. 누군가(중국 정부 혹은 세금 소프트웨어 개발사) 해외 기업의 정보를 계속해서 가져간 것이다.

[이미지 = utoimage]


골든스파이를 추적한 결과 골든헬퍼(GoldenHelper)라는 또 다른 백도어가 발견되기도 했다. 역시 중국의 세금 소프트웨어를 통해서 해외 기업에 배포되고 있었다. 이 때문에 미국 FBI는 골든헬퍼와 골든스파이를 통한 정보 수집 행위에 주의하라고 미국 조직들을 대상으로 경고를 발령하기도 했다.

6월 말, 골든스파이에 대한 보고서가 발표되고 큰 화제가 되고 얼마 지나지 않아 배후의 공격자들이 소프트웨어의 업데이트 채널을 통해 언인스톨러를 배포하기 시작했다. 소프트웨어는 그대로 놔두되, 골든스파이만 제거하기 위함이었다. 언인스톨러는 골든스파이를 삭제한 후 자신 스스로도 삭제함으로써 골든스파이에 대한 증거를 말끔히 지워냈다.

그 후로도 트러스트웨이브는 골든스파이와 언인스톨러에 대한 추적을 이어갔다. 현재까지 트러스트웨이브가 발견한 언인스톨러는 총 다섯 개라고 한다. 이 중 일부는 공공 코드 리포지터리로도 업로드 됐을 정도였다. 배후 세력이 누구인지, 상당히 다급하게 움직이고 있는 것으로 해석된다고 트러스트웨이브는 발표했다.

“골든스파이 때문에 우리의 모든 행위를 감시할 수 있다는 것을 알게 됐고, 따라서 저희도 조용히 움직이며 추적을 실시했습니다. 그 결과 다섯 개의 언인스톨러를 발견할 수 있었습니다.”

다섯 개의 언인스톨러 전부 똑같은 기능을 가지고 있었다. 다만 최종 기능을 실행하기까지 진행되는 과정과 문자열 난독화 기술에서 조금씩 차이가 보였다. 따라서 언인스톨러의 크기도 조금씩 달랐고, 이 때문에 일괄적인 탐지가 어려웠다고 한다.

세 번째 언인스톨러부터는 고유 ID를 ningzhidata.com이라는 도메인으로 전송하고 있었다. 이 때문에 배후의 공격자들은 이 ID를 통해 활동 사항을 추적할 수 있었을 것이라고 트러스트웨이브는 보고 있다. 그 외에도 39.98.110.234라는 IP 주소도 공격에 연루된 것으로 밝혀졌는데, 이는 기술 지원을 전문으로 한다는 중국 기업인 닝보 디지털 테크놀로지(Ningbo Digital Technology)인 것으로 추적됐다.

닝보 디지털 테크놀로지의 웹사이트에서는 두 개의 파일이 다운로드 형태로 제공되고 있었는데, 그 중 하나는 골든스파이를 드롭시키는 드로퍼(iclient)였다. 나머지 하나는 골든스파이의 언인스톨러(QdfTools)였다. 골든스파이 언인스톨러는 기업 환경에서 사용할 수 있는 시스템 청소 소프트웨어라고 광고되고 있었다고 한다.

트러스트웨이브는 “골든헬퍼와 골든스파이 캠페인의 배후 세력이 누구인지 확실치는 않지만, 닝보 디지털 테크놀로지라는 기업이 골든스파이 삭제 활동에 관여되어 있다는 것은 확실한 것으로 보인다”고 결론을 내렸다.

4줄 요약
1. 중국에서 사업하려면 반드시 설치해야 하는 세금 소프트웨어 있음.
2. 그런데 이 소프트웨어 통해 골든헬퍼와 골든스파이라는 백도어가 퍼지고 있었음.
3. 이 사실이 밝혀지자 부랴부랴 언인스톨 하려는 움직임 포착됨.
4. 현재까지 발견된 언인스톨러가 총 5개. 공격자들이 꽤나 빠르게 움직이고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

jungb**** 2020.08.29 20:05

저 백도어 걸렸는데 어카죠..... 익스플로러 시작페이지도 바뀌고 윈도우 디펜더로 지우려니까 해커가 실행안돼게 막아놨아요.... 호스트도 수정됐어요;;;


BearGrilled 2020.08.18 21:47

"배후가 누구인지 모른다니... 저런~
혹시 모르니까 중국 공산당에 물어보세요.^^"


  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비