삼성 메신저 '마이싱글' 사칭 악성코드 유포

인터넷입력 :2016/01/25 19:36    수정: 2016/01/26 07:53

손경호 기자

삼성그룹 내부에서 베타테스트 버전으로만 개발한 사내 메신저인 '마이싱글'의 설치파일(mySingleMessenger.exe)과 같은 이름을 가진 악성코드가 발견됐다.

현재 삼성그룹은 사내 인트라넷인 '마이싱글'에 접속하면 임직원 인증을 거쳐 사내 PC, 모바일 버전용 메신저인 '스퀘어 포 마이싱글(Square for mySingle)'이 푸시형태로 자동설치된다.

이 메신저를 개발한 삼성SDS측 관계자는 "마이싱글이라는 설치파일은 현재 사용되고 있는 스퀘어와는 전혀 다른 것으로 사내 베타테스트 용도로만 썼던 것"이라며 "이와 관련해 내부에 악성코드가 유입된 흔적은 찾지 못했으며, 추가로 분석을 진행 중"이라고 밝혔다. 마이싱글을 사칭한 악성코드는 개발자들이 내부에서 개발 중 테스트했던 버전이었다는 설명이다.

이 관계자는 "지난해 말 부터 삼성그룹 사내 메신저로 도입된 스퀘어 포 마이싱글은 마이싱글을 사칭한 악성코드와는 별개"라고 덧붙였다.

이와 관련 보안회사 하우리 블로그에 따르면 이 악성코드는 과거 소니픽처스 해킹 때 악용됐던 백도어 악성코드와 유사한 기능을 갖고 있으며, 원격터미널을 실행해 공격자가 구축한 C&C서버에 접속하도록 한 뒤 파일생성, 삭제, 검색, 프로세스 생성, 삭제, 검색, 시스템 정보 탈취 등 기능을 가진 것으로 분석됐다.

기업 내부 기밀 등을 노린 악성코드가 사내 메신저를 포함해 내부에서 익숙하게 사용되는 프로그램을 사칭하는 것은 보안전문가들 사이에서는 흔하게 알려진 수법이다.

현재 마이싱글을 사칭한 악성코드가 정황상 삼성그룹을 노린 것으로 판단되는 것은 맞지만 삼성측은 사내에서 침투흔적이나 탐지사례가 발견되지 않았다고 해명했다.

삼성SDS 관계자는 "발견된 악성코드가 실행파일 형태이지만 내부 인트라넷에서는 인증을 받은 임직원들에게만 사내 메신저가 자동으로 설치되고, 외부 파일을 설치할 수 없다"고 설명했다.

관련기사

현재로서는 이전에 베타테스트 단계에서 쓰였던 마이싱글 실행파일 원본과 악성파일을 대조해봐야 과거 공격을 시도하려고 했는지등에 대한 보다 정확한 상황을 파악할 수 있을 것으로 보인다.

해당 파일명을 가진 악성코드 다운로드 주소를 발견했던 국내 보안전문가는 국내 IP주소를 가진 3개 URL에 접속하면 마이싱글이라는 이름을 가진 악성코드가 발견되는 것을 확인했다고 밝혔다.