Home > 전체기사
중국 진출 기업들에서 발견된 골든스파이, 개발사가 몰래 지워
  |  입력 : 2020-07-02 15:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국 진출 기업들이라면 반드시 사용하는 세금 관련 소프트웨어에 백도어가
소식 나오자 소프트웨어 개발사는 급하게 백도어 지우려는 패치 배포해


[보안뉴스 문가용 기자] 지난 주 보안 업체 트러스트웨이브(Trustwave)가 중국의 세금 관련 소프트웨어에서 골든스파이(GoldenSpy)라는 멀웨어를 발견한 바 있다. 중국 시장에 진출한 해외 기업이 사용해야만 하는 소프트웨어에서 정보 수집을 가능케 하는 백도어가 발견되었다는 내용으로, 중국 정부에 대한 불신을 부추겼던 소식이다.

[이미지 = utoimage]


이에 해당 소프트웨어를 제작한 개발사인 아이시노(Aisino)가 뜨악하며 소프트웨어 업데이트를 은밀하게 배포하기 시작했다. 골든스파이를 제거하기 위한 것이었다. 트러스트웨이브의 부회장인 브라이언 후세이(Brian Hussey)는 “이런 움직임을 급하고 정확하게 보였다는 건, 아이시노가 애초에 백도어를 의도적으로 심었다는 소식”이라고 지적했다. 다만 애초에 이런 계획을 세운 것이 아이시노인지, 배후에 또 다른 세력이 있는 것인지는 불투명하다.

아이시노의 새 소프트웨어는 레지스트리와 로그, 모든 파일과 폴더를 지운다. 골든스파이라는 백도어의 로그 파일도 삭제 대상에 포함된다. 그런 후 언인스톨 과정을 통해 이전 버전을 모두 삭제한다고 한다. “이런 언인스톨러가 배포된 방법은 크게 두 가지입니다. 하나는 6월 28일 AWX.EXE 파일로서 배포됐는데, 변수들이 평문으로 설정되어 있었습니다. 그래서 백신 소프트웨어에 잘 걸렸죠. 그래서 바로 다음 날 아이시노는 BWXT.EXE라는 언인스톨러를 배포했습니다. 이 때는 변수를 베이스64(Base64)로 암호화 했더군요.”

이런 빠른 변경의 정확한 이유나 동기는 아직 밝혀지지 않았지만 “백신을 피해가려는 것” 외에는 잘 떠오르지 않는다는 게 트러스트웨이브의 추측이다. “아이시노는 최대한 조용하게 골든스파이를 걷어내려고 했던 것 같습니다. 그렇지만 사용자들 몰래 원격에서 뭔가를 시도했다는 것 자체 때문에 골든스파이가 발견됐던 세금 소프트웨어 플랫폼의 신뢰도가 크게 하락할 수밖에 없습니다. 한 반 년 정도 지나서 골든스파이가 잊혀지면 다시 비슷한 공격을 이렇게 은밀하게 진행할지 누가 압니까?”

보안 업체 아반트(AVANT)의 수석 클라우드 책임자인 론 헤이먼(Ron Hayman)은 골든스파이에 대해 “아아시노가 처음부터 계획하고 진행한 일은 아닐 것”이라는 의견을 가지고 있다. “아이시노가 이 소프트웨어를 가지고 어마어마한 이윤을 내온 것도 아니고, 아이시노라는 회사 자체가 소비자의 신뢰를 크게 얻은 유명 기업이 아닙니다. 그런데도 이렇게 서둘러서, 급한 티를 팍팍 내면서 언인스톨 했다는 건 골든스파이의 발견으로 손가락질 받을 누군가를 위해 급히 작업했다는 뜻이라고 봅니다.”

후세이는 “엔드포인트 탐지 및 대응(EDR) 기능을 갖춘 기업들이라면 골든스파이가 시스템에 설치된 흔적이나 이력이 있는지 확인해야 한다”고 권고한다. “아마 아이시노가 골든스파이를 이미 지웠기 때문에 시스템에서 골든스파이 자체를 발견하기는 힘들 겁니다. 다만 과거에 설치된 적이 있었는지, 그렇다면 어떤 정보가 새나갔는지 확인할 필요는 있어 보입니다.”

3줄 요약
1. 중국 시장에 진출한 해외 기업이라면 꼭 설치해야 하는 세금 소프트웨어가 있음.
2. 지난 주 이 소프트웨어에서 골든스파이라는 정보 탈취형 멀웨어가 발견됨.
3. 뉴스가 나오자 소프트웨어 개발사가 은밀하게 골든스파이 지우기 위한 패치 배포함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)