[주의] 제우스(Zeus) 소스 암호 해독 버전 트위터 통해 빠르게 전파 중

1. 개 요

2011년 5월 11일 한국시간 오후 5시경 인도의 특정 트위터 계정을 통해서 제우스(Zeus) 악성파일 자동화 개발 도구의 가장 마지막 버전의 소스코드가 암호와 함께 트위터 등을 통해서 빠르게 전파되고 있는 것이 잉카인터넷 대응팀 보안 관제 중에 발견되어 인터넷 사용자들의 각별한 주의가 요망되고 있다.

기존에 발견되었던 제우스 빌더의 소스코드는 암호화 압축되었던 파일들만 인터넷에 공개되어 있었고, 복호화할 수 있는 암호가 공개되어 있지 않아서 실제로 사용하는데는 제약이 있었지만 금일부터는 사용이 가능한 소스가 공유되고 있는 것이 공식적으로 확인된 것이다.

잉카인터넷 시큐리티 대응센터는 2011년 5월 11일부터 급속도로 공유되고 있는 제우스 오리지널 소스 코드를 이미 2011년 5월 2일에 자체 입수하여, 정밀 상세 분석과 함께 원천 차단 방어기술을 개발하고 있는 상태였으며, 잉카인터넷에서 소스 코드를 확보했을 당시에는 다행히도 인터넷상에 공개적으로 암호가 공유되어 있지는 않고 있었다.

하지만 누구나 쉽게 암호화된 소스코드를 해제할 수 있는 파일이 무차별적으로 확산됨에 따라 앞으로 "▶온라인 뱅킹을 타겟으로 하는 트로이목마 변종이 지금보다 더 기하급수적으로 증가" 할 것으로 우려되며, 악성 파일로 구성되는 봇넷(Bot-Net) 등의 위험도 역시 비례적으로 높아질 것으로 전망된다. 

따라서 제우스 악성파일과 관련하여 인터넷 뱅킹 등의 보안 위협을 최소화할 수 있는 "종합적인 보안성 검토가 다각적으로 요구되어질 것으로 예상된다".

2. 제우스 압축해제 버전 소스코드 공개

아래 화면은 지금으로 부터 약 5시간 전에 인도의 특정 해커가 트위터를 통해서 제우스 소스 코드를 자신의 웹 사이트에 올려놓고, 다운로드할 수 있는 주소와 정상적으로 압축을 해제할 수 있는 암호키를 함께 전파하고 있는 화면을 잉카인터넷 대응팀에서 직접 캡처한 화면이며, 해당 트위터의 Retweet 기능과 함께 다양한 SNS 경로와 해킹 포럼 등에서 2차~3차 배포 등이 증가하고 있는 실정이다.

 

일부 모자이크 처리

아래는 특정 웹 사이트에 등록되어 있는 제우스 소스 코드 화면이다.

공유되고 있는 도메인을 잉카인터넷 대응팀에서 확인해 본 결과 아래와 같이 정상적으로 다운로드가 이루어졌으며, 암호 역시 정상적으로 해제되고 있는 것을 확인하였다.

일부 모자이크 처리

다운로드한 압축 파일은 아래 화면의 왼쪽 이미지와 같이 암호화 압축 파일이며, 트위터에 공개된 암호키를 입력하여 압축을 해제하면 오른쪽 이미지와 같이 정상적으로 압축 해제가 가능한 것을 확인하였다.

잉카인터넷 대응팀은 자체적으로 입수하여 확보하고 있던 소스코드와 금일 해외에서 급속도로 전파되고 있는 소스코드를 비교해 본 결과, 금일 확인된 압축 파일에서는 일부 러시아어로 된 설명 파일이 누락되어 있었지만 소스코드 부분은 거의 동일했다.

또한, 소스코드의 빌드를 시도하면 다음과 같이 Zeus Package Builder 화면을 볼 수 있으며, 정상적으로 빌드 진행이 가능하다.

3. 제우스 변종 악성파일 누구나 쉽게 제작 가능

제우스 악성파일은 보통 Zbot 이라는 형태의 진단명으로 nProtect Anti-Virus 최신 버전으로 탐지 및 치료가 가능하다. 문제는 계속해서 유사 변형이 제작되고 유포되고 있다는 점인데, 지금과 같이 Builder 소스 프로그램이 유출되어 무분별하게 공유될 경우엔 지금보다 더 많은 변종이 출현하게 될 것으로 예측된다.

또한, 빌더는 다양한 버전이 공개되어 악성파일 제작에 악용되고 있다.

소스코드는 악성파일을 개발할 수 있는 빌더 도구 자체를 변형할 수 있기 때문에 소스 레벨 단계에서 차단할 수 있는 기술이 요구되게 된다.

다음 화면은 이번에 유출된 소스가 정상적으로 작동되는 것을 잉카인터넷에서 확인한 내용이다. Actions 부분에는 악성파일 구성 기능이 다수 포함되어 있고, 다양한 인터넷 뱅킹 웹 사이트를 타겟으로 지정할 수 있는 것을 확인할 수 있다.

일부 모자이크 처리

4. 대응 방법

잉카인터넷에서는 해당 제우스 빌더로 생성한 최신 악성파일을 이용하여 간단한 테스트를 진행해 보았다. 잉카인터넷 키보드 보안 솔루션인 nProtect KeyCrypt 를 이용해서 웹페이지 암호 키입력 보호 테스트를 수행해 본 결과 문제 없이 입력 키 값을 보호할 수 있는 것으로 확인하였다.

잉카인터넷 nProtect Anti-Virus 제품군에서는 제우스 악성파일 변종을 지속적으로 수집 확보하여 신속하게 치료 기능을 추가하고 있으며, 변종에 대한 원천적인 차단 기능을 제공할 예정이다.

이처럼 다양한 보안 위협으로 부터 사전에 대비하고 안전한 컴퓨터 환경을 지속하기 위해서 아래와 같은 기본적인 보안 수칙을 준수한다면 보안 위협에 쉽게 노출되는 것을 충분히 예방하는 효과를 거둘 수 있다.

[권장 보안 관리 수칙]

◎ 사용중인 운영체제(OS)의 취약점을 보완하기 위하여 정기적으로 최신 서비스팩과 보안패치로 업데이트한다.
◎ Flash Player(SWF), Adobe Reader(PDF), Office 등 응용 프로그램 취약점을 보완하기 위하여 최신 버전으로 사용한다.
◎ Firewall, Anti-Virus 등 보안제품을 설치하고 항시 최신버전으로 유지하며, 실시간 감시 및 정기 검사를 진행한다.
◎ 사회적인 관심사나 특정 이슈 내용에 쉽게 현혹되어 신뢰할 수 없는 프로그램을 무심코 실행하지 않도록 한다. 
◎ 불법 소프트웨어를 사용하지 않으며, 신뢰할 수 없는 정보나 유해 사이트 등의 접근을 하지 않도록 한다.
◎ 사용하고 있는 각종 로그인 암호는 다른 사람이 추측하지 못하도록 가능한 복잡하게 설정하고 정기적으로 변경한다.