[아이티데일리] 순천향대 SCH사이버보안연구센터(센터장 염흥열 교수)는 현재 국내 PC사용자를 대상으로 하는 새로운 공격 도구 ‘리그킷(RIG Exploit Kit)’을 사용한 악성코드가 유포되기 시작했다고 밝혔다.

센터는 악성코드 유포 조직이 중국에 근거지를 두고 있는 것으로 추정되고 있으며, 지난 2011년부터 최근까지 지속적으로 국내 인터넷 뱅킹을 위한 파밍 공격용 악성코드를 유포해 왔다고 설명했다.

이번에 발견된 리그킷은 해외에서 많이 사용하는 익스플로잇 킷으로 PC의 특정 경로에 파일이 존재하는지 확인하며, 실버라이트와 자바, 플래시 취약점을 이용해 악성코드를 유포하는 형태다.

기존에 사용하던 익스플로잇 킷은 난독화 된 코드의 복호화 과정이 자바스크립트로 되어 있어 비교적 쉽게 코드 분석이 가능했으나, 리그킷은 그 과정이 PHP로 되어 있어 코드 분석이 어렵고, 공격자가 지정한 특정 값(PHPSSESID)을 다른 페이지에서 확인 후 최종 악성코드를 유포하는 것이 특징이다.

센터는 사용자가 접근한 이전 페이지(네이버, 구글, 다음)를 확인해 악성코드를 감염시키는 등 악성코드 유포 방식 또한 지능화되고 있는 것으로 추정된다고 설명했다.

염흥열 순천향대 SCH사이버보안연구센터장은 “국내를 위협하는 조직이 리그킷을 악성코드 유포에 사용한 것은 이번이 처음”이라며, “해당 조직이 악성코드 탐지를 우회하기 새로운 도구를 이용해 유포방식이 진화하고 있는 추세에 대한 대응 기법 개발이 요구된다”고 밝혔다.