이란에서 스턱스넷, 플레임처럼 국가 기반시설을 노린 악성코드와 유사한 변종 웜이 발견됐다. 마이크로소프트(MS)의 SQL 데이터베이스(DB)를 느리게 만들고, 저장된 내용을 의미 없는 값으로 변경하거나 특정 목록을 삭제하는 등의 기능을 가진다.
23일(현지시간) 외신은 시만텍이 MS의 SQL DB를 목표로한 '나리람' 웜이 발견했다고 보도했다. 이 웜은 특정 테이블과 오브젝트에 접근해 정보를 모으며, 특정한 단어를 찾아 무작위 값으로 변경하거나 테이블을 지워버린다.
시만텍 슌이치 이마노 보안연구원은 자사 블로그에 오브젝트의 유형으로 봤을 때 주요 공격 목표가 되는 DB는 주문, 계좌, 사내 고객 관리시스템 등이 포함된다고 밝혔다.
나리람 웜은 'alim', 'marilan', 'shahd'와 같은 데이터베이스 이름을 찾은 뒤 'BankCheck', 'buyername'과 같은 용어를 검색한다. 이마노 연구원은 이러한 단어들 중에 페르시아어로 된 'Hesabjari'는 '현재계좌'를, 'pasandaz'는 저축' 등을 의미한다고 밝혔다.
대부분의 나리람 감염 기기는 이란에서 발견됐다. 스턱스넷에 이어 일반 회사의 시스템을 느리게 만드는 것을 목표로 하고 있으며 이란 외에 미국, 영국 등에서도 등장하고 있으나 실제 감염 수는 적은 편이다.
시만텍은 이 웜에서 추가적인 기능이 없는지 살펴보는 중이다. 스턱스넷이 이란에서 발견된 만큼 이와 유사한 기능을 하거나 스파이웨어 등의 기능을 할 수도 있을 것이라고 이 회사는 보고 있다.
지난 2년 전에 처음으로 이 웜을 발견한 시만텍은 초기에는 단순한 트로이 목마 바이러스처럼 인식됐다. 그러나 연구원들이 더 많은 샘플을 확보하고, 특별한 위협이 없는지 분석하는 과정에서 이 같은 결과가 나왔다.
지금까지 밝혀진 내용에 따르면 나리람은 감염된 기기에 스스로를 복제한 뒤 레지스트리 키를 등록하고, 공유된 파일 폴더로부터 정보를 취득하고 제거할 수 있는 드라이버를 사용한다. 이는 윈도7, 윈도 서버 2008, 윈도 비스타, 윈도XP 등 전 영역에 걸쳐 영향을 미친다.
이 웜이 특이한 점은 객체연결삽입 데이터베이스(OLE DB)에 접속해 MS SQL DB에 담긴 내용을 업데이트 한다는 것이다.
관련기사
- 카스퍼스키랩, 스턱스넷 막으려 OS 개발2012.11.26
- 스턱스넷 악성코드 '듀큐' 변종 등장2012.11.26
- 이란, 반정부시위 앞두고 또 인터넷 차단2012.11.26
- 이란 인터넷은 국가검열받는 인트라넷2012.11.26
OLE DB는 MS가 제작한 애플리케이션 프로다양한 데이터 저장소로부터 데이터에 접근할 수 있도록 하는 애플리케이션 프로그램 인터페이스(API)이다.
이마노 연구원은 이 웜에 감염된 회사는 중요한 DB가 파괴되거나 금융정보가 손실될 수 있으며 원본 DB의 복사본을 남겨놓지 않아 복구하는데 훨씬 오랜 시간이 걸릴 수 있다고 경고했다.