시만텍 보안연구소가 2일 CrySyS(Cryptography and System Security) 연구소와 함께 스턱스넷 변종 ‘듀큐(Duqu)’ 감염 프로세스에 대한 추가 분석 결과를 발표했다.
CrySyS팀은 원본 듀큐 바이너리를 탐지한 데 이어 이번에 듀큐 인스톨러를 찾아내는 성과를 거뒀다. CrySyS가 찾아낸 듀큐 인스톨러 파일은 기존의 알려지지 않은 커널의 제로데이 취약점을 이용해 악성코드를 실행시키는 마이크로소프트 워드 문서다. 시만텍은 마이크로소프트 측에 해당 취약점을 통보했으며, 마이크로소프트도 관련 보안 업데이트를 준비 중인 것으로 확인됐다.
현재까지 확인된 악성코드 듀큐에 대한 추가 업데이트 정보는 보안 패치가 없는 제로데이 취약점을 이용하며, 마이크로소프트 워드 문서를 경유해 설치된다는 점이다. 또 공격자들은 P2P 명령과 제어 프로토콜을 통해 안전 지대에 있는 컴퓨터 시스템에 듀큐를 퍼뜨리고 제어 가능하다는 점이 확인됐다.
현재까지 프랑스, 네덜란드, 스위스, 우크라이나, 인도, 이란, 수단 및 베트남 등 8개국 6개 기업에서 감염이 확인됐으며 벨기에에서 호스팅된 새로운 명령제어(Command&Control) 서버(77.241.93.160)가 발견되어 폐쇄된 것으로 알려졌다.
윤광택 시만텍코리아 이사는 “본인도 모르게 프로그램이 생성되거나 삭제된 경우, 알 수 없는 파일이나 공유 폴더가 생긴 경우, 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우, 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우에는 즉시 악성코드 감염을 의심해봐야 한다”며 “무엇보다 출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려받지 않는 게 바람직하다”고 당부했다.
시만텍 보안기술대응팀(STAR, Security Technology and Response)은 듀큐에 대한 추가적인 분석을 계속하고 있으며, 새로운 정보가 확인되는 대로 듀큐 보안위협을 업데이트할 계획이다.
장윤정기자 linda@etnews.com
