스턱스넷 악성코드 '듀큐' 변종 등장

일반입력 :2012/03/21 08:59    수정: 2012/03/21 09:07

김희연 기자

슈퍼 산업시설 바이러스 웜인 스턱스넷 유사 악성코드 ‘듀큐(Duqu)’의 변종이 나타났다.

미국 지디넷은 20일(현지시간) 글로벌 보안업체 시만텍이 지난 2월 새로운 변종 듀큐 악성코드를 발견한 사실을 밝혔다고 보도했다.

듀큐는 슈퍼 산업시설 바이러스 웜인 스턱스넷과 유사한 기능을 가지고 있지만 백도어에 설치돼 공격에 이용할 주요 정보를 수집하는 스파이 기능을 가진 것이 특징이다. 악성코드에 감염되면 시스템은 명령제어(C&C) 서버와 통신해 공격 정보를 공격자에게 전송한다.

지디넷은 이번 변종 듀큐 악성코드의 출현으로 해커들의 움직임은 여전히 현재진행형임을 알 수 있을 것이라고 전했다. 또한 이는 산업기반 시설을 향한 공격 역시도 진행 중임을 알 수 있는 명백한 증거이기도 하다. 처음 듀큐 악성코드가 등장한 후로 가장 최근 새롭게 등장한 것이 지난 2월이었다. 악성코드 제작자가 4달 이상을 치밀한 준비를 통해 변종 악성코드를 공개했다.

시만텍은 새롭게 발견된 변종 듀큐 악성코드 ‘mcd9x86.sys’를 확인했다고 밝혔다. 이는 감염된 기기로부터 데이터 수집하거나 탈취했던 기존 기능 이 외 새로운 기능이 포함되지는 않은 것으로 알려졌다.

관련기사

다만 카스퍼스키랩의 코스틴 라이우는 “최근 발견된 변종은 크라이시스 연구소에서 내놓은 오픈소스 듀큐 탐지 툴킷을 우회하도록 엔지니어링되어 있다”고 말했다.

한편 보안 전문가들은 듀큐 변종 등장에 대해 “산업기반 시설 공격을 겨냥하고 있어서 사회전반의 혼란을 초래할 수 있어 우려된다”면서 “윈도 제로데이 취약점을 이용한 산업기반 시설 공격이 이뤄진바 있기 때문에 외부적 요인으로 피해를 받지 않도록 노력해야 할 것”이라고 말했다.