촬영·도청 및 파일유출 등 스파이 기능 포함…앱 다운로드 링크 우회로 감염

 

[아이티데일리] 핀스파이(FinSpy)로도 알려진 스파이웨어 ‘핀피셔(FinFisher)’의 새로운 변종을 포함하는 소프트웨어가 전 세계 공공기관과 산하기관을 대상으로 확산되고 있어 주의가 요구된다.

25일 이셋코리아(대표 김남욱)는 최신 스파이웨어인 핀피셔 변형의 감염 사례가 다수 발견되고 있다고 밝혔다. 이번에 발견된 변종은 몇몇 기술적인 개선을 포함하고 있으며, 변종 중 일부는 주요 ISP의 개입을 의심할 수 있는 감염 벡터를 사용하고 있다.

‘이셋안티바이러스’에 의해 ‘Win32/FinSpy.AA’ 및 ‘Win32/FinSpy.AB’로 진단되는 핀피셔는 웹캠과 마이크를 통한 실시간 촬영과 도청, 키 로깅 및 파일 유출 등 광범위한 스파이 기능을 포함하고 있다.

그러나 핀피셔를 다른 스파이웨어와 차별화시키는 것은 배포 관련 논쟁이다. 핀피셔는 법률 이해 도구로 판매되고 있고, 독재 정권에 의해서도 사용된 것으로 의심된다. 7개국에서 최신 핀피셔 변종을 발견했지만 국가 명을 공개하기에는 어려움이 있다는 게 이셋 측의 설명이다.

핀피셔 스파이웨어는 스피어 피싱, 수동 설치, 제로데이 익스플로잇 및 워터링 홀 공격 등 다양한 감염 메커니즘을 사용하는 것으로 알려졌다. 주목할 만한 변종 스파이웨어의 새로운 배포 방법 중 하나는 ISP 수준의 맨인더미들 공격을 사용한다는 것으로, 신종 핀피셔 스파이웨어가 탐지된 두 국가에서 사용되는 것을 확인했다.

이는 감시 대상 사용자가 잘 알려진 애플리케이션을 다운로드 할 때 핀피셔에 감염된 해당 애플리케이션의 다운로드 링크로 우회시키는 방식이다. 핀피셔를 확산시키는 데 사용된 것으로 보이는 애플리케이션은 왓츠앱(WhatsApp), 스카이프(Skype) 등이지만, 사실상 모든 애플리케이션이 이런 식으로 악용될 수 있다.

공격은 사용자가 잘 알려진 검색 포털에서 애플리케이션을 검색하는 것으로 시작되며 다운로드 링크를 클릭하면 수정된 링크를 통해 공격자의 서버에서 호스팅되는 트로이 목마 설치 패키지로 우회되는데, 이를 다운로드 후 실행하면 정상적인 애플리케이션뿐만 아니라 함께 제공되는 핀피셔 스파이웨어도 설치된다. 핀피셔의 최신 버전은 안티 샌드박스, 안티 디버깅, 안티 가상화 및 안티 에뮬레이션 트릭을 포함하고 있어서 분석을 더욱 어렵게 만든다.

김남욱 이셋코리아 대표는 “국가에 의한 계획적이고 조직적인 감시에 악성코드가 사용되고 있다는 점은 다소 충격적”이라며, 물론 일부 국가에서 한정적으로 발견된 사건이지만, 그만큼 악성코드는 우리의 생활과 접하게 연관돼있기 때문에 스스로 철저한 대응이 필요하며, 전세계적으로 충분히 검증된 보안 제품을 사용하는 것이 매우 중요하다“고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지