美 RSA 인증정보 및 방산·화학업체 정보유출 해킹사고 등에 악용 강력한 원격제어·정보유출 기능...APT 공격에 악용돼 주의 필요  

[보안뉴스 권 준]  최근 기업 및 기관을 대상으로 한 APT 공격에 대한 관심이 증가하고 있으며, 이를 반영하듯 국내외에서 이로 인한 정보유출 피해가 여러 차례 발생한 바 있다.

이 가운데서도 ‘포이즌 아이비(Poison IVY)’라는 신종 악성코드에 대한 관심이 높아지고 있다. 포이즌 아이비가 지난해 3월과 7월 잇따라 발생한 미국 RSA 인증정보 유출사고, 방산·화학업체 정보유출 해킹사고 등의 APT 공격에 악용된 데 이어 최근에도 등장했기 때문.   

올해 9월에 발견된 MS 인터넷 익스플로러 7, 8, 9 버전에서의 제로데이 취약점의 경우도 실제 해외에서 이 취약점을 악용해 악성 웹사이트에만 방문해도 포이즌 아이비 악성코드를 감염시키는 공격사례가 확인되는 등 포이즌 아이비가 공포의 악성코드로 자리 잡은 상황이다.

이렇듯 백도어 계열의 악성코드로 국내외에서 감염 및 피해사례가 지속적으로 알려지고 있는 포이즌 아이비에 대한 상세한 분석보고서가 나와 눈길을 끌고 있다. KISA 인터넷침해대응센터 연구개발팀 김지상 책임연구원이 11월 인터넷 침해사고동향 및 분석월보에 ‘Poison IVY(포이즌 아이비) 상세기능 분석’이라는 제목으로 월간특집 보고서를 발표한 것. 

이번 보고서에서 김지상 책임연구원은 “포이즌 아이비는 다양하고 강력한 원격제어 및 정보유출기능이 구현된 것으로 확인되어 각별한 주의가 필요하다”며, “기능을 파악해본 결과, 감염 PC내의 중요파일 검색, 유출 및 도청 등 감염PC 이용자들에게 심각한 피해를 줄 수 있는 강력한 기능들이 구현되어 있는 것으로 확인됐으며, 소스코드가 인터넷에 공개되어 있어 지속적으로 해킹공격에 악용될 것으로 보인다”고 밝혔다.

포이즌 아이비의 대응책과 관련해 김 책임연구원은 “OS 및 문서열람·편집 애플리케이션에 대한 신속한 보안 업데이트를 적용하거나 메일첨부 열람 및 실행주의 등을 통해 피해발생을 최소화 할 수 있다”며, “포이즌 아이비는 포트스캔 등 타 시스템 공격을 위한 기능이 구현되어 있어 감염PC를 경로로 한 타 시스템 대상 2차 공격에 대한 주의가 필요하다. 기업의 경우 2차 피해의 차단을 위해 타 중요 시스템에 접근하여 정보를 탈취할 수 없도록 중요 단위시스템별로 강력한 보안설정 및 정책을 적용할 필요가 있다”고 밝혔다.

덧붙여 그는 “운영 시스템별 온라인 원격관리 가능대상 및 가능범위를 최소로 설정하고, 중요 시스템은 가능한 온라인 관리접속을 차단하고, 물리적으로 콘솔에 직접 접근하여 관리해야 한다”며, “중요시스템 접속용 PC에서는 정보유출 우회경로가 될 수 있는 무선AP 사용을 금지하고, 내부에서 사용하는 노트북 등이 감염될 경우 도청, 도촬 장치가 될 수 있다는 위험성을 알고 관리에 주의해야 한다”고 강조했다.

한편, ‘Poison IVY(포이즌 아이비) 상세기능 분석’라는 제목의 이번 분석보고서 전문은 KISA 인터넷침해대응센터 홈페이지(http://krcert.or.kr/) 자료실내 동향 및 분석월보 메뉴나 보안뉴스 컨텐츠 코너(http://www.boannews.com/
security_contents/info/list.asp)에서 다운로드 받을 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>