CCleaner 맬웨어

CCleaner는 컴퓨터에서 불필요한 파일을 삭제하기 위해 생성된 유틸리티 프로그램입니다. 이 소프트웨어는 디스크 공간을 차지하는 임시 파일과 유효하지 않은 Windows 레지스트리 키를 제거합니다. 이 정리 과정에서 시스템에 숨어 있던 악성 파일도 삭제됩니다. 이 프로그램은 2017년 1월에 CNET에서 '매우 우수함(Very Good)' 평점을 받기도 했습니다.

하지만 2017년 9월에 CCleaner 맬웨어가 발견되었습니다. 해커는 이 합법적인 프로그램을 찾아 사용자의 데이터를 도용하도록 설계된 악성 코드를 삽입했습니다. 컴퓨터에 숨어 있는 맬웨어를 제거하는 도구를 중요 정보와 개인 정보를 노리는 심각한 위협으로 대체한 것입니다.

위협 심층 탐구

이 맬웨어는 두 개의 트로이 목마인 Trojan.Floxif와 Trojan.Nyetya로 구성되었으며, CCleaner 5.33.6162 및 CCleaner Cloud 1.07.3191의 무료 버전에 삽입되었습니다. 아마 해커는 CCleaner의 빌드 환경을 손상시켜 이 맬웨어를 삽입한 것 같습니다.

여러 보고서에 따르면, 이 맬웨어는 감염된 컴퓨터 시스템에서 IP 주소, 설치 및 실행 중인 소프트웨어에 관한 정보 등 특정 데이터를 수집하여 미국에 위치한 제3의 서버로 전송할 수 있습니다.

CCleaner의 모회사인 Avast Piriform은 2017년 9월 12일에 이 맬웨어를 발견하고 즉시 문제 해결을 위한 조치에 착수했습니다. 이 회사는 앞서 언급한 버전이 32비트 Windows 시스템에서 실행될 때만 발생하는 문제라 업그레이드된 버전을 다운로드하면 해결될 것으로 판단했습니다. 2백만 명 이상의 사용자가 감염된 것으로 추정됩니다.

안타깝게도, 이 회사는 맬웨어 감염 실태가 생각했던 것보다 더 심각하다는 사실을 알게 되었습니다. Cisco Talos에 의해 두 번째 단계의 페이로드가 발견되었습니다. 이 페이로드는 Google, Microsoft, Cisco, Intel 등 약 20개 거대 기술 기업을 표적으로 40여 대의 컴퓨터를 감염시켰습니다.

Wired에 따르면, "Cisco는 CCleaner 조사에 관여한 익명의 정보원으로부터 해커의 C&C(command-and-control) 서버의 디지털 복사본을 입수했다고 밝혔습니다. 이 서버에는 9월 12일부터 16일까지 해커의 컴퓨터로 '포닝 홈(phoning home)'을 실행한 모든 백도어 컴퓨터 관련 데이터베이스가 포함되었습니다."

CCleaner 맬웨어의 배후를 밝혀낼 확실한 증거는 없지만, 조사팀은 중국의 해킹 그룹, Axiom과의 연관성을 발견했습니다.

CCleaner 맬웨어 코드와 Axiom에서 사용하는 도구의 코드 사이에 공통점이 있고, 감염된 서버의 타임스탬프가 중국 시간대와 일치했습니다. 다만 타임스탬프는 변경 또는 수정이 가능하므로 출처를 정확히 파악하기 어렵습니다.

이는 기술 기업이 표적으로 선택되었다는 점과 맞물려 CCleaner 맬웨어가 국가의 후원을 받는 공격의 일부일 수 있다는 우려가 발생했습니다. 2017년 말 기준으로, 이 해킹의 배후에 관한 조사가 진행 중입니다.