[디지털데일리 이민형기자] 하우리(대표 김희천)는 7일 오후 1시경부터 지난해 3.20 전산망해킹에 사용된 악성코드의 변종이 유포되고 있다고 8일 밝혔다.

이 악성코드는 다수의 국내 웹사이트를 통해 국내 온라인 결제모듈 액티브X(Active-X) 업데이트 파일 변조 취약점과 국내 데이터저작관리(DRM) 제품모듈 액티브X 취약점 등을 이용해 유포되고 있는 상황이다.

해당 악성코드에 감염되면 감염 정보를 1차 명령제어(C&C) 서버로 전송하며 추가적인 명령을 수신해 악성행위를 수행하게 된다. 1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판을 사용하는 웹사이트로 국내 게시판의 취약점을 이용해 서버를 확보한 것으로 추정된다.

특히 해당 악성코드가 접속하는 C&C 서버 중 일부는 지난해 3.20 전산망해킹에 사용된 C&C 서버와 일치하는 것으로 나타났다. 또한 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3.20 악성코드와 동일한 로직을 사용하고 있다.

이 회사 최상명 차세대보안연구센터장은 “작년과는 다르게 관제를 강화한 결과 3.20 악성코드의 최신 변종 시리즈를 조기에 발견하게 됐다”며 “1차 C&C 서버와 2차 토르(TOR) C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중”이라고 밝혔다.

<이민형 기자>kiku@ddaily.co.kr



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
[이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
GM, 볼트EV 생산중단 연장…LG 배터리 안전… GM, 볼트EV 생산중단 연장…LG 배터리 안전…
  • GM, 볼트EV 생산중단 연장…LG 배터리 안전…
  • 삼성전자, “더 프레임으로 ‘모나리자’ 감상…
  • 삼성전자, ‘비스포크 냉장고’ 선택 폭 확대……
  • 삼성전자, “골프도 건강도 갤럭시워치4로”…