비밀번호 없이 인증 돌파하는 악성코드?

비밀번호 없이 사용자로 위장해서 인증을 돌파하는 극악의 악성코드인 스켈리톤 키(Skeleton Key)가 발견됐다. 델시큐어웍스(Dell SecureWorks)가 액티브 디렉터리(Active Directory) 도메인 컨트롤러 메모리 패치에 숨어서 인증을 우회, 해킹하는 이 악성코드를 발견했다고 밝힌 것.

Photo Image

스켈리톤 키는 네트워크에 로그인하는 사용자의 사용량에 영향을 주지 않으면서 숨어서 몰래 상주, 모든 사용자로 위장해가며 인증을 돌파한다. 외부에서도 원격 조작이 가능한 위험한 악성코드인 것이다.

스켈리톤 키는 액티브 디렉터리 도메인 컨트롤러의 메모리 패치에 숨어서 시스템에 대한 접근 권한이 있는 사용자의 시스템 인증을 우회한다. 사용자 인증을 무력화하는 것이다. 또 사용자도 정상적으로 시스템에 로그인해서 작업을 할 수 있기 때문에 몰래 숨어 있는 스켈리톤 키의 존재를 알아채는 건 어렵다고 한다.

스켈리톤 키는 64비트 윈도 시스템에서만 활동한다. 스켈리톤 키는 액티브 디렉터리 도메인 컨트롤러에 잠복하기 위해 액티브 디렉터리 관리자 권할을 필요로 한다. 델시큐어웍스 측은 피해 기업 상황을 조사한 결과 특정 타깃에서 중요한 데이터를 빼앗는 피싱을 위해 관리자 암호를 빼앗은 것으로 보인다고 한다. 시스템에 상주해 사용자 인증을 무력화시키는 만큼 외부에서도 원격 조작이 가능하다는 점도 문제다.

하지만 스켈리톤 키는 다행스럽게 악성코드에 감염된 시스템을 다시 시작하면 삭제되기 때문에 영구적으로 시스템에 상주할 수는 없다고 한다.

전자신문인터넷 테크홀릭팀


이원영IT칼럼니스트 techholic@etnews.com


브랜드 뉴스룸