ESET, 최신 스파이웨어 FinFisher 변형 확산에 주의 요망

2017년 9월 23일(월)

유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 최신 스파이웨어인 FinFisher 변형의 감염 사례가 다수 발견되고 있어 사용자의 주의를 요한다고 전했다.

FinSpy 로도 알려진 악명 높은 스파이웨어인 FinFisher 의 새로운 변종을 포함하는 소프트웨어가 전 세계 공공기관과 산하기관을 대상으로 판매되고 있어 주의가 필요하다. 새로 발견된 변종은 몇몇 기술적인 개선을 포함하고 있으며, 변종 중 일부는 주요 ISP 의 개입을 의심할 수 있는 감염 벡터를 사용하고 있다.

ESET 안티바이러스에 의해 Win32/FinSpy.AA 및 Win32/FinSpy.AB 로 진단되는 FinFisher 는 웹캠과 마이크를 통한 실시간 촬영과 도청, 키 로깅 및 파일 유출 등 광범위한 스파이 기능을 포함하고 있다. 그러나 FinFisher 를 다른 스파이웨어와 차별화시키는 것은 배포와 관련된 논쟁이다. FinFisher 는 법률 이해 도구로 판매되고 있으며, 독재 정권에 의해서도 사용된 것으로 의심된다. ESET 은 7 개국에서 최신 FinFisher 변종을 발견했는데 아쉽게도 발견된 국가명을 공개하기는 어려움이 있다고 전했다.

FinFisher 스파이웨어는 스피어 피싱, 수동 설치, 제로데이 익스플로잇 및 워터링 홀 공격 등 다양한 감염 메커니즘을 사용하는 것으로 알려져 있다. 주목할 만한 변종 스파이웨어의 새로운 배포 방법 중 하나는, ISP 수준의 맨인더미들 공격을 사용한다는 것인데, ESET 안티바이러스가 신종 FinFisher 스파이웨어를 탐지한 두 국가에서 사용되는 것을 확인하였다. 감시 대상 사용자가 잘 알려진 애플리케이션을 다운로드 할 때 FinFisher 에 감염된 해당 애플리케이션의 다운로드 링크로 리디렉션 된다. FinFisher 를 확산시키는데 사용된 것으로 보이는 애플리케이션은 WhatsApp, Skype, Avast, WinRAR, VLC Player 등이지만, 사실상 모든 애플리케이션이 이런 식으로 악용될 수 있음에 유의해야 한다. 공격은 사용자가 잘 알려진 검색 포털에서 애플리케이션을 검색하는 것으로 시작된다. 사용자가 다운로드 링크를 클릭하면 수정된 링크를 통해 공격자의 서버에서 호스팅되는 트로이 목마 설치 패키지로 리디렉션되는데, 이를 다운로드 후 실행하면 정상적인 애플리케이션 뿐만 아니라 함께 제공되는 FinFisher 스파이웨어도 설치된다. 이러한 리디렉션 프로세스는 사용자의 인지없이 진행되어 육안으로는 확인이 불가능하다. FinFisher 의 최신 버전은 또한 향상된 기술을 사용하는데, 안티 샌드박스, 안티 디버깅, 안티 가상화 및 안티 에뮬레이션 트릭을 포함하고 있어서 분석을 더욱 어렵게 만든다.

이셋코리아의 김남욱 대표는 "국가에 의한 계획적이고 조직적인 감시에 악성코드가 사용되고 있다는 점은 다소 충격적입니다. 물론 일부 국가에서 한정적으로 발견된 사건이지만, 그만큼 악성코드는 우리의 생활과 밀접하게 연관되어 있기 때문에 스스로 철저한 대응이 필요합니다. 아울러, 전세계적으로 충분히 검증된 보안 제품을 사용하는 것이 매우 중요하다고 볼 수 있습니다."고 전했다.

디지털타임즈	이셋, 최신 스파이웨어 ‘핀피셔’ 변형 확산에 주의 요망
데이터넷	이셋 “핀피셔, 국가간 스파이 활동에 사용됐나”
아이뉴스24	이셋 "실시간 도·감청 스파이웨어 주의"
데일리시큐	악명 높은 스파이웨어 ‘FinFisher’ 변종 감염 확산…주의
아이티데일리	“스파이웨어 ‘핀피셔’ 변형 확산에 주의 필요”