[CCTV뉴스=최형주 기자] 국내 보안업체의 유효한 디지털 서명을 탑재한 악성코드가 유포되고 있어 개인과 기업의 보안에 더욱 세심한 주의가 필요하다.

이스트시큐리티 대응센터 ESRC는 30일 DRM, 문서보안업체의 유효한 디지털 서명이 탑재된 악성코드가 URL을 통해 유포되고 있다고 밝혔다.

PC에 침입한 악성코드는 곧바로 스케쥴러에 ‘Jav Maintenance64’라는 이름으로 스스로 등록하고 매일 주기적으로 재실행이 이뤄지도록 설정하는 봇을 설치한다. 해커는 봇에 감염된 PC에 임의의 추가 악성행위를 수행할 수 있다.

이번 악성코드가 문제되는 것은 국내 보안업체의 디지털 서명을 악용한 부분인데, 이러한 서명이 포함된 모듈은 무결성을 가진 프로그램으로 인식되기 때문에 화이트리스트 기반 솔루션 및 보안장비 등을 우회하기에 용이하다.

이스트시큐리티는 이번 공격에 대해 2016년과 2017년, 국내 공공기관과 금융기관을 대상으로 APT공격을 수행했던 조직이 사용한 커스텀 암호화 알고리즘을 그대로 사용하고 있다고 밝혔다. 아울러 발견된 악성코드와 URL은 대규모 APT공격의 테스트를 위한 초기단계일 가능성이 있다고 전했다.

한편 이스트시큐리티는 “알약에서 해당 악성코드를 ‘Trojan.Agent.75232’로 탐지하고 있다”며, “관련 악성코드와 URL 차단에 이은 추가대응을 위해 관계 기관과 공조중”이라고 밝혔다.

최형주 기자 다른기사 보기