2018

5월

Vol.73

SNS로 공유하기

[기술동향] 여러 OS에서 실행되는 멀웨어 등장

관리자 swinfozine@nipa.kr|2013년 08월 05일

□ 요약
○ 최근 다양한 OS에서 실행되는 자바 애플릿 기반의 멀웨어를 이용한 사이버 공격이 미 정부의 관계자들을 대상으로 이뤄졌으며, 이 멀웨어는 자바 기반으로 제작돼 다양한 OS에서 실행된다는 점 때문에 확산이 매우 빨라 위험도가 높은 것으로 분석됨

□ 주요 내용
○ 최근 정부 기관을 목표로 한 사이버 공격에 여러 OS에서 실행되는 멀웨어가 사용되고 있다고 밝힘
- 멀웨어의 파일 확장자는 ‘.jar’이며, 자바 애플릿으로 작동하고 외부에서 원격 조작할 수 있는 백도어 트로이 목마이기 때문에 침입을 당하면 컴퓨터의 제어권을 공격자에게 완전히 빼앗기게 됨

○ 현재 확인된 공격은 미국 정부의 정보수집 프로그램인 ‘PRISM(프리즘)’을 사칭한 피싱 메일로, 북미 지역의 정부 관계자들에게 전송된 것으로 파악됨
- 메일에는 ‘prism’이라는 단어가 제목에 포함된 PDF 파일 2개와 미국 국가 안보 상황이라는 파일명이 부여된 .jar 파일 1개가 첨부돼 있음
- .jar 파일은 실행 시 사용자의 환경에 맞는 자바 애플릿을 실행시키는데, 시만텍은 조사를 통해 이 파일이 ‘jRat(Java Rat)’이라 불리는 무료 버전의 트로이 목마임을 확인함

○ 이 멀웨어는 윈도우, 맥OS, 리눅스, 솔라리스 등의 OS를 지원하는 자바 애플릿이기 때문에 OS를 가리지 않는다는 것이 특징이며, 사용자의 PC가 자바 실행 환경을 갖췄다면 공격을 당할 수 있음
 
○ 이 멀웨어는 취약점을 악용하는 공격은 아니지만, 특정 OS 및 응용프로그램에 종속되지 않기 때문에 확산이 매우 용이하므로 위험도가 높음
- 이 공격은 악의적인 자바 파일을 간단히 실행시킨다는 점과 확산이 매우 빠르다는 점 때문에 취약점을 악용한 공격만큼이나 위험도가 높음
- 멀웨어 자체는 보안 소프트웨어를 통해 감지할 수 있으므로 보안 소프트웨어의 버전을 항상 최신 상태로 유지해야 하며 의심스러운 메일은 관심이 가는 제목이라도 주의할 필요가 있음

출처: 정보통신산업진흥원 http://www.itfind.or.kr/itfind/periodical/viewPublication.htm?page=1&pageSize=10&sortOrder=desc&sort=created&total=777&searClassCode=B_ITA_01&codeName=%EC%A3%BC%EA%B0%84%EA%B8%B0%EC%88%A0%EB%8F%99%ED%96%A5&masterCode=publication&identifier=02-001-130723-000007&classCode=B_ITA_01_29