시만텍, 기업 핵심 정보 수집하는 악성코드 '듀큐' 경고

[김수연기자] 산업용 제어시스템 제조업체 등에 침투해 핵심 정보 자산을 탈취하는 악성코드가 발견됐다.

시만텍 보안 연구소는 지난 해 이란 원전 시설을 불능화시킨 표적 공격 '스턱스넷(Stuxnet)'과 유사한 악성코드 '듀큐(W.32 Duqu)'가 발견돼 현재 조사 중이라고 20일 발표했다.

시만텍에 따르면 '듀큐'는 산업 시설에 물리적 피해를 입혔던 '스턱스넷'과 달리 산업용 제어시스템 제조업체와 같은 조직에 침투해 'DQ' 이름을 가진 파일을 생성, 문서 등 핵심 정보 자산을 수집해 향후 제3자에 대한 공격을 보다 쉽게 감행할 수 있도록 준비하는 데 목적을 두고 있다.

실제로 '듀큐'는 산업용 제어시스템과 관련된 코드를 전혀 포함하지 않으며, 원격 접속 트로이목마(Remote Access Trojan)로 활동한다. 자가 복제는 하지 않는 것으로 분석됐다.

특히 시만텍은 '듀큐'가 '스턱스넷' 공격과 유사한 차세대 사이버 공격을 예고하는 전조일 수 있어 주목할 필요가 있다고 전했다. 현재까지 탐지되지 않은 변종을 이용해 다른 조직에 유사한 방식의 공격을 수행할 가능성도 배제할 수 없다는 설명이다.

또한 시만텍은 이 악성코드의 제작자가 '스턱스넷' 바이너리 및 소스코드에 접근한 것으로 보여 '듀큐' 제작자가 '스턱스넷' 제작자와 동일인일 가능성이 있다고 보고 있다.

'듀크'에서는 '스턱스넷' 소스코드를 사용한 실행파일들이 발견됐고 이들은 마지막 '스턱스넷' 파일이 복구된 이후 개발된 것으로 추정되는 상황이며 키보드 입력 및 시스템 정보 등을 빼돌리도록 설계됐다는 게 시만텍의 분석이다.

시만텍코리아 윤광택 이사는 "'스턱스넷'에 이어 이번에 발견된 '듀큐' 사례에서 보듯 공격자들의 인터넷 보안 위협 목표와 공격 전술은 더욱 지능화, 정교화 되는 추세"라고 말했다.