세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스(Zeus)와 스파이아이(Spyeye)의 뒤를 잇는 강력한 악성코드가 발견됐다.
글로벌 보안 기업 안랩(구 안철수연구소)은 강력한 기능의 금융정보 탈취형 악성코드인 시타델(Citadel) 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다.
시타델은 ‘시타델 빌더’라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 ‘제우스 빌더’가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드이다.
안랩의 분석에 따르면 시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 따라서 악성코드에 감염된 PC의 네트워크인 봇넷(Botnet)을 구성하기 위한 기능을 기본으로, 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS(소셜네트워크서비스) 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다. 또한 공격자용 서버인 C&C 서버로부터 허위백신(사용자의 PC를 사용하지 못하게 만들거나 허위로 악성코드에 감염되었다는 정보로 공포심을 유발한 후 이를 해결하기 위한 대가로 직접적인 송금을 강요하는 부류의 악성코드) 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다.
반면, 정보 탈취의 기능은 제우스에 비해 비약적으로 강화되었다. 제우스의 경우 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한다. 반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함되어 APT(Advanced Persistent Threat)까지 고려한 정보수집을 시도한다. 예를 들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.
시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다. 악성코드를 생성하는 빌더와관리자용 패널을 판매하는 한편, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다.
안랩 시큐리티대응센터 이호웅 센터장은 “이제 악성코드는 대부분 금전적인 목적으로 제작되고 있다고 해도 과언이 아니다. 특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다. 사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하고, 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수적이다.”라고 말했다.