[디지털데일리 이유지기자] 국내 안티바이러스(백신)를 무력화하는 백도어를 활용하는 지능형지속위협(APT) 공격 실체가 드러났다.

카스퍼스키랩은 한국과 중국, 방글라데시, 인도네시아, 영국, 미국 등에서  ‘하드디스크드라이브(HDD) 루트킷’과 이를 악용한 악성코드로 APT 공격을 벌인 해킹그룹 ‘윈티(Winnti)’의 실체를 밝혀냈다고 6일 밝혔다.

카스퍼스키랩은 그동안 이 해킹그룹이 사용해온 공격 플랫폼을 ‘HD루트’라고 이름 붙이고 관련 APT 공격 배후를 추적해 왔다. 부트킷의 한 종류인 ‘HDD 루트킷’을 기반으로 개발한 보안위협은 공격 대상 시스템에 오랜 시간 머무르면서 지속적인 공격을 감행한다. 이 플랫폼은 다양한 종류의 악성코드를 실행하기 위한 발판으로도 사용될 수 있다.

글로벌 연구·분석팀(GReAT) 분석결과, ‘윈티’는 주로 게임사를 포함한 소프트웨어 기업을 대상으로 산업 사이버스파이 활동을 전개해온 사이버범죄조직이다. 최근에는 제약산업 분야에도 손을 뻗치고 있다.

카스퍼스키랩은 ‘HD루트’ 플랫폼을 활용해 실행된 두 종류의 백도어를 발견했으며, 아직 밝혀지지 않은 백도어가 더 많이 있을 것으로 추정하고 있다. 이들 백도어 중 하나는 국내 백신 제품인 안랩의 ‘V3 라이트(Lite)’와 ‘V3 365 클리닉’, 이스트소프트의 ‘알약’을 무력화하는 기능을 갖고 있다. 한국 기업을 대상으로 한 공격을 벌이기 위해서 개발된 기능으로 추정된다.  

카스퍼스키랩은 “‘윈티’가 조직으로 형태를 갖추기 시작한 시기를 2009년으로 보고 있다. 이들은 다른 조직의 소프트웨어를 활용했을 가능성도 있다. 이러한 유틸리티와 소스코드는 중국이나 다른 사이버범죄 블랙마켓에서 유통되고 있을 것”이라며 “‘윈티’ 악성코드를 탐지한 지 한 달도 채 지나지 않아 새로운 변종이 발견되기도 했다”고 말했다.

한편, 카스퍼스키랩의 시큐리티 제품은 발견된 윈티 악성코드를 Backdoor.Win64.Winnti, Rootkit.Win32.HDRoot 등으로 차단하고 있다.

<이유지 기자>yjlee@ddaily.co.kr