침해사고/위협동향

6.25 사이버공격 악성코드, 최신 보안기술도 우회했다

디지털데일리 발행일 2013-06-26 13:45:49
이민형 기자
[디지털데일리 이민형기자] 6.25 디도스(분산서비스거부, DDoS) 공격에 사용된 악성코드가 가상머신, 샌드박스 등 최신 보안기술도 우회해 피해를 입힌 것으로 밝혀졌다. 또 기존에 알려진 악성코드가 아닌 새로운 변종으로 백신 등으로도 탐지가 불가능한 것으로 조사됐다.

26일 파이어아이는 25일 청와대 해킹 등 사이버공격 등에 대한 보고서를 발표하며 이같이 밝혔다.

이번 공격은 웹하드 파일을 변조하는 방법으로 악성코드를 유포했으며, 유포된 악성코드를 통해 좀비PC를 생성하고, 이를 바탕으로 지정된 시간에 디도스 공격을 수행하도록 동작했다.

주목할 것은 해당 악성코드는 기존에 사용하던 보안기술을 무력화하기 위해 진화된 기술이 사용됐다는 점이다.

최근에 등장한 보안솔루션은 알려지지 않은 위협에 대응하기 위해, 가상머신이나 샌드박스를 사용해 악성코드를 실행, 분석한다. 그러나 이번에 발견된 악성코드는 가상화 기반 샌드박스에서 악성행위를 하지 않아 해당 보안기술을 우회했다.

더군다나 안티디버깅(Anti-Debugging) 등의 기능이 포함된 ‘themida packer’라는 패킹 기술을 활용해 분석 및 탐지를 어렵게 해 범용 가상화 기반의 샌드박스에서는 분석이 거의 불가능하게 만들어졌다.
 
즉, 이전에 발견된 악성코드들과 달리 매우 지능적으로 악성행위를 하므로 백신은 물론 현재 APT 솔루션이라고 분류되는 대다수의 장비에서도 탐지가 불가능할 것으로 추정된다.

현재 안랩, 하우리, 잉카인터넷, 파이어아이 등 보안업체들은 해당 악성코드를 차단하는 업데이트를 이미 실시했으며 지속적으로 모니터링과 분석을 진행하고 있다.

<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기

이 기사와 관련된 기사

디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스