​파이어아이, 국내 금융∙보험 기업을 타깃하는 레이튼트봇 악성코드 발견

 

아주경제 권석림 기자 = 파이어아이는 다층 난독화를 통한 잠입으로 아무런 흔적 없이 네트워크에 잠복, 하드디스크를 손상시키는 악성코드 레이튼트봇(LATENTBOT)을 발견했다고 28일 밝혔다.

악성코드는 한국을 포함해 미국, 영국, 싱가폴 등 여러 주요 국가의 금융 서비스 및 보험 분야를 주요 타깃으로 공격을 감행해왔으며, 특히 한국은 해당 악성코드의 타깃국가일 뿐 아니라 CnC서버로 악용되기에 각별한 주의가 요구된다.

파이어아이의 동적 위협 인텔리전스(DTI)에 수집된 정보에 의하면 레이튼트봇은 2013년에 생성돼 한국을 포함한 미국, 영국, 브라질, UAE, 싱가포르, 캐나다, 페루, 폴란드 등 여러 국가의 금융 서비스 및 보험 분야를 주요 대상으로 그간 여러 차례 공격을 감행해 온 것으로 드러났다.

파이어아이는 해당 악성코드가 레이튼트봇(LATENTBOT)이라고 명명된 최종 페이로드(payload)를 통해 타깃 컴퓨터에 감염 시키는 흔한 수법을 이용했지만, 페이로드가 여러 단계로 주입되는 다층 난독화 과정으로 인해 탐지가 어렵다는 점이 특기할 만 하다고 전했다.

전수홍 파이어아이 지사장은 “APT 공격이 지능화되면서 기존 AV 프로그램으로 탐지하기 어려운 악성코드들이 등장하고 있다. 레이튼트봇과 같이 다층 난독화를 통해 기존 탐지 시스템을 우회하는 악성코드를 탐지 및 대응하기 위해서는 행동 기반 솔루션 필요하다”고 말했다.