고가 신형 뱅킹 멀웨어 '판데미야', 기능도 다양

아주경제 장윤정 기자 = RSA 프로드액션(FraudAction)팀은 최근 '판데미야(Pandemiya)'라 불리는신종 멜 웨어를 발견했다고 자사 블로그에 밝혔다.

이번 발표에 의하면 판데미야는 멜 웨어 지하 시장에 있어서 1500~2000달러로 판매되고 있다. 가격은 구입자가 요구하는 기능에 의해서 달라진다.

판데미야는 뱅킹 멜 웨어로 양식 데이터나 로그 인 자격 정보를 훔치는 것이 가능하다. 더욱이 주요한 3종류의 웹 브라우저에 대응한 악성 웹 페이지를 표시하도록 해 표적에 대해서 보다 많은 정보를 수집하는 것이 가능하다.

RSA팀에 의하면 판데미야에 감염된 PC와 봇 넷의 통신도 암호화되고 있다고 한다. 판데미야에는 모듈식이라는 특징이 있다. 즉, DLL플러그 인을 사용, 간단하게 기능을 확장 및 추가할 수 있다.

리버스 프록시나 FTP로그 인 정보의 도청 기능 등, 일부의 DLL플러그 인은 고액에 판매되고 있다. 판데미야는 유명한 뱅킹 멀웨어 '제우스'의 소스 코드를 기본으로 작성되고 있지 않은 점에서 다른 맬 웨어와는 구별되고 있다.

제우스의 소스 코드는 2011년에 인터넷 상에 유출되고 있다. 그 이후, 'Citadel', 'Carberp',  'Zberp' 등 다양한 악성 뱅킹 멜 웨어의 제작자가、제우스의 소스코드를 그대로 사용해 왔다.

이번 조사를 통해서、판데미야의 제작자가 이 멜 웨어의 코드 제작에 1년의 세월을 보냈다는 것을 알게 되었다. 또한, 2만 5,000행 이상에 이르는 새로운 코드가 C언어로 작성되어 있다.

이와 같이 새로운 코드로 구성된 트로이 목마가 출현하는 것은 지하 시장에서는 놀라운 현상이라고 RSA팀은 블로그 기사에서 보고하고 있다. 

RSA팀은 판데미야는 멜 웨어로써는 비교적 고가라는 등의 이유 때문에 현 시점에서는 보급이 아직 미흡하다고 RSA팀은 지적하고 있다. 그러나 판데미야의 제작자가 제우스의 활동 정지에 따라서 생겨난 일시적인 틈을 노리고 있을 가능성은 부정할 수 없다.

RSA팀은 "판데미야의 수요가 높아질 지 어떨 지가 판명 나는 데에는 시간이 걸릴 것"이라고 말하고 있다.