슈퍼 산업시설 바이러스 웜 '스턱스넷'을 닮은 악성코드 ‘듀큐(Duqu)’에 쓰인 프로그래밍 언어가 C 계열 언어 또는 이를 응용한 것으로 밝혀졌다.
19일(현지시간) 미국 지디넷은 보안 전문업체 카스퍼스키랩이 프로그래밍 커뮤니티에서 확인된 듀큐 악성코드에 쓰인 일부 프로그래밍 언어를 분석해 악성코드 일부 특징을 파악했다고 보도했다.
듀큐는 스턱스넷과 유사기능을 가졌지만 백도어에 설치돼 향후 공격에 이용할 주요 정보를 수집하는 스파이 성격의 악성코드다. 일단 악성코드에 감염된 시스템은 명령제어(C&C)서버와 통신해 공격자 뜻대로 움직이게 해 주는 식이다.
카스퍼스키랩 보안 전문가는 “이는 은폐형 악성코드로 침입한 커뮤니티 안에 프로그래밍 언어를 확인하도록 도와준다”면서 “듀큐 프레임워크는 마이크로소프트(MS) '비주얼C 2008'과 '옵션/O1/Ob1'로 이뤄진 C코드로 작성된 것이다”고 말했다.
이는 앞서 듀큐 악성코드에서 추가적인 모듈을 다운로드하거나 실행시키는 영역 소스코드가 표준 C++ 언어에 기반한다고 추정해온 입장을 바꾼 것이다. 이제 회사측은 듀큐 프레임워크가 프로그래밍툴 'MS 비주얼C 2008'을 쓴 C코드로 만들어졌다고 설명한다. 즉 듀큐 내용 대부분이 개발자들 사이에서 '객체지향 C(OOC)'라 불리는 확장형 C코드로 이뤄졌다는 분석이다.
요약하면 악성코드를 실행하는 아키텍처는 듀큐 프레임워크의 일부나 OOC확장을 통해 개발됐고 C&C코드부분은 기존 프로젝트와 듀큐 악성코드를 결합해 재사용하는 것으로 추정된다고 회사측은 밝혔다.
카스퍼스키랩 보안 전문가는 “스턱스넷과 유사한 성격을 지닌 듀큐는 대형 악성 프로그램 중 일부에 불과할 뿐”이라며 “전문 소프트웨어를 통해 그 기술을 약간 들여다볼 수 있지만, 최근 등장하는 악성코드를 파악하기엔 한계가 있다”고 설명했다.
지디넷은 전문가들이 분석한 듀큐 프레임워크가 다른 개발팀에 의해 만들어진 것으로 보인다고 전했다.
관련기사
- 스턱스넷 등 산업기반시설 해킹 위협 증가2012.03.20
- 이란, 악성코드 '듀큐' 통제기술 확보2012.03.20
- 스턱스넷 유사 악성코드 '듀큐', 제로데이 취약점2012.03.20
- 스파이 기능으로 돌아온 스턱스넷 '버전업'2012.03.20
한편, 듀큐는 보안패치가 없는 제로데이 취약점을 이용하는 것으로 알려졌다. 이를 이용하는 공격자들은 PSP명령과 제어 프로토콜로 보안 기능을 갖춘 시스템에도 듀큐를 유포해 제어할 수 있게 된다. 듀큐가 처음 발견된 당시 감염된 것으로 확인된 국가만 프랑스, 네덜란드, 스위스, 우크라이나 등 8개국 6개 기업이다.
듀큐에 대해 보안 전문가들은 “스턱스넷이 산업기반 시설 공격을 통해 사회혼란을 초래할 수 있는 만큼 듀큐의 위험성을 인식해 대처해 나가야 한다”고 당부했다.