adsense_in_article_test


중국에서 사업하려면 악성코드 의무 설치? - 골든헬퍼/골든스파이 IT/잡담

원문기사는 여기로

아르스 테크니카(ars technica)에 지난 7월에 게재된 기사인데, 트러스트웨이브(Trustwave)라는 보안업체에서 찾아낸 중국산 악성코드에 대한 내용이다. 간략하게 내용을 정리해 보자면 이렇다.


...
중국 정부는 중국에 등록되어 있는 모든 회사가 부가가치세 납부를 위해서 "Golden Tax Invoicing"이라는 소프트웨어를 설치하도록 의무화하고 있다. 보안업체 트러스트웨이브에서 골든헬퍼(GoldenHelper)라고 명명한 이 악성코드는 윈도우 PC의 사용자 계정 컨트롤(UAC, User Account Control)을 우회하여 시스템 권한을 획득할 수 있다.
...
골든헬퍼는 보안 소프트웨어의 탐지를 회피하기 위해 아래와 같은 방법을 채용하고 있다.
  - 무작위로 생성된 파일명
  - 무작위로 생성된 "생성" 및 "최종수정" 시간
  - 실행파일을 다운로드하면서 확장자를 gif, jpg, zip 등으로 위장
  - 다운로드할 자료의 접속주소/저장위치 등을 제어하기 위해 미리 설정한 도메인 목록 테이블 사용
  - 원격지령 서버를 변경하기 위한 IP주소 기반 도메인 생성 알고리즘(IP based domain generation algorithm) 사용
...
골든헬퍼가 발견되기 3주전에는 골든스파이(GoldenSpy)라는 악성코드가 발견되었는데 중국에 지사를 설립한 다국적 기술기업의 네트워크에서 발견되었다. 이 악성코드는 골든헬퍼와 마찬가지 방법으로 설치되었는데, "Golden Tax Project"라는 소프트웨어에 포함되어 있었다.

트러스트웨이브에 따르면, 골든스파이는 지난 4월부터 6월까지 활동하다가 트러스트웨이브에서 이와 관련된 보고서를 발표하자 갑자기 중단되었다. 골든헬퍼는 2018년 1월부터 2019년 7월까지 활동했던 것으로 추정된다. 골든헬퍼는 "NouNou Technologies"라는 기업 명의로 디지털 서명이 되어 있어 윈도우에서 신뢰할 수 있는 어플리케이션으로 인식되었다. NoNou Technology는 "Aisino Corporation"의 자회사다. Aisino Corporation은 골든스파이 악성코드를 포함한 세금 소프트웨어를 공급한 회사다.

골든헬퍼를 포함한 세금 계산 소프트웨어를 제작한 업체는 "Baiwang"이다. 이 소프트웨어의 공식적인 공급자는 Aisino와 Baiwang 2개 회사뿐이다. 이번 발견으로 볼 때, 골든스파이는 1회성 작업이 아니며, 처음에 알려졌던 것보다 더 오랜 기간 동안 최소 1개 이상의 다른 악성코드가 함께 포함되어 있는 작업이다.
...



정부에서 설치를 의무화한 세금 계산/납부용 소프트웨어에 백도어를 아예 포함해서 배포하다니, 과연 공산당 1당독재국가에 걸맞는 패기와 기백이다. -_-; 설치된 PC에 대한 시스템 권한을 가지고 있고 외부의 지령 서버와 통신을 하므로, 사실상 기업 네트워크에 중국 정부의 누군가가 마음대로 조종할 수 있는 PC를 들여온 것이나 마찬가지다.

골든스파이는 6월에 들통이 나서 중단한 것 같고, 골든헬퍼도 7월에 들통이 났으니 아마도 지금쯤은 중단했을 것 같긴 한데, 그렇다고 해서 중국이 앞으로 이런 행위 자체를 중단할 가능성은 희박해 보인다.



핑백

덧글

댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.



통계 위젯 (화이트)

130516
2895
2275588

2019 대표이글루_IT

B-Side