[뉴스토마토 류석기자] 하우리는 지난 7일 오후 1시경부터 다수의 국내 웹사이트를 통해 3.20 악성코드의 최신 변종 시리즈가 유포됐다고 8일 밝혔다.

 

악성코드는 국내 온라인 결제모듈 ActiveX 업데이트 파일 변조 취약점과 국내 DRM 제품모듈 ActiveX 취약점 등을 이용한 것으로 나타났다.

 

해당 악성코드에 감염되면 감염 정보를 1차 C&C 서버(원격으로 좀비PC에 공격명령을 내리는 서버)로 전송하며 추가적인 명령을 수신해 악성행위를 수행한다.

 

1차 C&C 서버는 대부분 제로보드, 케이보드 등 국내 게시판을 사용하는 웹사이트로, 국내 게시판의 취약점을 이용해 C&C 서버를 확보한 것으로 추정된다.

 

특히 해당 악성코드가 접속하는 C&C 서버 중 일부는 지난해 3.20 방송·금융사 사이버테러의 악성코드가 사용한 C&C 서버와 일치한다.

 

또 명령을 수신해 복호화하고 정보를 C&C 서버로 전송하는 암호화 로직이 3.20 악성코드와 동일한 로직을 사용하고 있다.

 

최상명 차세대보안연구센터장은 "작년과는 다르게 관제를 강화한 결과 3.20 악성코드의 최신 변종 시리즈를 조기에 발견하게 됐다"라며 "1차 C&C 서버와  2차 TOR C&C 서버를 통해 추가로 수신하는 암호화된 명령을 해독하며 예의주시 중이다"라고 밝혔다.