시만텍 연구원들은 Google 문서 도구를 명령 및 제어(Command-and-Control: C&C)서버와 통신하게 하는 악성코드를 발견했다고 밝혔다.
 
이 악성코드는 감염된 컴퓨터의 백도어를 열고 정보 갈취를 위한 트로이목마다. 해당 악성코드의 최신버전은 구글 문서도구를 프록시 서버를 사용해 C&C에 접근하게 한다.
 
시만텍의 Takashi Katsuki는 그의 블로그에 “Google 문서는 다른 URL의 내용을 검색하여주는 뷰어라는 기능이 있다”며 “기본적으로, 이 기능은 사용자가 브라우저에서 다양한 형식의 파일을 볼 수 있게 한다. ‘Bakdoor.Makadocs’는 C&C 서버에 접근하기 위해 이 기능을 이용하지만 이는 Google의 정책에 위반된다”고 게시했다.
 
또 “악성코드 제작자가 발견되는 C&C에 직접 연결을 방지하기 위해 이 기능을 구현했다는 것을 알 수 있다”라고 말했으며 계속해서 “구글 문서도구서버가 로컬에서 차단하기 어렵게, HTTPS로 암호화가 된다. 구글은 방화벽을 이용해서 이를 방지할 수 있다”고 언급했다.
 
해커가 자신의 명령 및 제어 인프라와 통신의 비전통적인 방법을 사용한 사례는 이번이 처음이 아니다. 악성코드의 다른 조각들은 페이스북이나 트위터에서 사용되고 있다.
 
시만텍의 Katsuki는 “Makadocs는 서식있는 텍스트형식(RTF)파일 또는 MS워드 문서로 사용자를 공격한다. 악성파일의 구성요소를 다운시킬 땐 취약점을 이용하지 않고, 사회공학을 이용한다”고 말했다. 또 그는 “문서의 제목, 내용으로 사용자가 감염되도록 유인하고 주요 감염 타깃이 브라질에 주거하는 사람들을 대상으로 하고 있다”고 설명했다.
 
악성코드는 윈도우8, 윈도우서버2012 등을 포함해 피해자가 사용중인 운영체제를 감지하는 코드가 포함되어있다.
 
Katsuki는 “새로운 제품이 출시 될 때 마다 새로운 악성코드와 만나는 우리 보안 전문가에겐 이 일은 그렇게 놀랄 일이 아니다”라며 “이 악성코드는 윈도우8에 특별한 영향을 주지 않는다. 그 이유는 이 악성코드는 윈도우8이 출시되기 이전에 만들어져 있었기 때문이다. 그러한 이유로 아마도 이 악성코드는 향후 업데이트될 것”이라고 전망했다.
 
<참고사이트>
-www.securityweek.com/trojan-turns-google-docs
 
About 김민주 객원기자

ISEC2009, 2009 순천향대, 2012 시큐인사이드, 2012 HUST 등 여러 해킹대회 참가. 동아리 활동은 DoRoSiRus(2009), Trace(2009~2010), TempTMP(2012), TeamWang(2012) 등에서 활동. 보안분야 관심사는 System Hacking, Virus 등. 주요 연구 내용은 시스템 제로데이, NFC 해킹 등 시스템 관련 내용들이다. 장래 희망은 보안전문가가 되는 것
 
[데일리시큐 김민주 객원기자 brian020305@gmail.com]