게임파밍 악성파일 동일조직이 10년 넘게 유포

잉카인터넷 시큐리티대응센터(ISARC)는 최근까지 국내에 다량으로 유포중인 온라인게임계정 및 파밍 기능의 악성파일 개발조직이 10년 넘게 장기간 활동 중이라는 새로운 사실을 발표했다.

해당 악성파일 유포 조직은 지난 2004년 전후부터 2014년 현재까지 중국어 기반의 프로그래밍으로 국내 주요 웹 사이트를 상대로 수천 종 이상에 달하는 신/변종 악성파일을 전파시키고 있는 것으로 밝혀졌다.

잉카인터넷은 국내에 다년 간 유포된 한국 맞춤형 악성파일의 유사성 및 연관관계를 조사하고, 추적 관찰하여 수집한 다양한 정보를 기반으로 종합적으로 프로파일링한 결과 매우 흥미롭게도 대략 10년 전의 악성파일과 현재의 악성파일에서 공통적으로 사용된 코드가 존재한다는 점을 발견했고, 동일한 악성파일 알고리즘이 지속적으로 이용되고 있다는 정황 단서들도 다수 확보했다고 전했다.

과거 수년 동안 국내 불특정다수의 이용자들을 대상으로 무차별적으로 전파된 대표적인 주요 악성파일들에서 서로 이어지는 연결고리와 특수한 공통 단서들이 존재한다는 점은 그 동안 국내를 기반으로 수행된 사이버범죄가 최소한 하나의 조직(그룹)이나 특정한 누군가에 의해 주도 면밀하게 자행되고 있다는 것을 증명하는 것이며, 이들은 앞으로도 국내 사이버 보안위협의 고 위험군에 속할 것이라고 예상했다.

먼저 2004~2006년 사이에 주로 이용된 국내 온라인 게임 계정 탈취형태의 악성파일은 “Earthworm”, “Turtle” 이라는 고유한 변수이름을 내부적으로 이용했는데, 2007년~2012년 사이 국내에 유포된 대표적인 악성 파일들에서도 해당 변수가 공통적으로 사용하고 있다는 점이 확인됐다.

또한, 명령제어서버(C&C)에서 추가 악성파일을 다운로드 할 때 사용하는 명령어나 파일 등록기법들이 모두 동일하게 일치했다.

그리고 2012년 전후부터 한국 이용자를 겨냥한 인터넷 뱅킹용 악성파일이 본격적으로 발견이 되었는데, 기존 온라인 게임 계정 탈취기능의 악성파일이나 특정 웹 사이트 관리자 계정 수집용 악성파일들이 보유하고 있던 내부 바이너리명(MYDLL)도 일치했고, 주요 악성 프로그램 기능 구조도 거의 동일했다.

아직도 국내를 상대로 한 각종 악성파일 유포의 배후는 베일에 가려져 있고, 10년 넘게 유포된 악성파일이 동일한 조직이나 사람에 의해서 집중적으로 개발되고 있다는 점에서 좀더 다양한 보안대안이 마련되어야 할 것으로 보인다.

특히, 해당 조직은 단순히 악성파일 제작뿐만 아니라, 국내 주요 웹 사이트를 해킹하여 경유지 및 유포지로 활용하고 있으며, 최근에는 만 7천여 개에 달하는 웹 사이트가 사용 중인 소셜 댓글 플러그인 기능을 무단 변조하고 플래시 플레이어 보안취약점을 결합시켜 단시간에 엄청나게 많은 이용자들에게 악성파일을 전파시키는 전략까지 총동원하고 있다.

이처럼 공격자들은 파급력적인 측면에서 효과가 높은 공격방식을 채택하고 있어 매우 각별한 주의가 필요하며, 주요 인터넷 기업들이 서비스하는 정상프로그램을 변조하여 악성파일을 포함시켜 업데이트 시키거나 설치되도록 유도하고 있다는 점도 반드시 명심해야 한다.

이런 대표적인 몇 가지 단서만을 놓고 보아서도 해당 악성파일 관련조직은 10년 넘도록 국내 컴퓨터 및 웹 사이트 관리자 등을 노리고 교묘하고 지능적인 공격을 꾸준히 벌이고 있다는 것을 확인할 수 있다.

이에 잉카인터넷 시큐리티대응센터 문종현 대응팀장은 ‘국내 이용자들의 중요 정보를 노린 공격이 갈수록 고도화/지능화되고 있고, 매우 은밀하면서도 지속적인 공격활동을 10년 넘게 수행하고 있다는 것을 공식 확인할 수 있었다.’면서 ‘각종 보안취약점을 이용한 악성파일 공격이 국내에서 끊이지 않고 발생하고 있으니, 인터넷 이용자들은 항시 보안제품을 설치하고 매일 매일 최신 버전으로 업데이트 하여 사용하여야 한다.’라고 거듭 강조하였다.