이석원 기자
제임스웹우주망원경이 포착한 심우주 이미지를 지난 7월 미항공우주국 나사(NASA)가 공개해 아름다움을 느낄 수 있었다. 그런데 이 신비한 이미지에 악성코드를 심은 해커가 있었다고 한다.
보안 기업 시큐로닉스(Securonix)에 따르면 제임스웹우주망원경 화상 복사본에 멀웨어 코드를 심었다는 것. 악성코드는 GO#WEBBFUSCATOR 공격 프로젝트로 제임스웹우주망원경 사본을 비롯해 가짜 마이크로소프트 오피스 첨부 파일, 피싱 이메일 등을 포함한 복잡한 멀티스테이지 악성코드다.
마이크로소프트 오피스를 통해 첨부 파일이 포함된 피싱 메일로 시작하고 이를 다운로드하면 악성코드가 다운로드된다. 사용자 측에서 설치 매크로 기능이 있는 경우 화상 파일 하나를 다운로드한다. 이는 제임스웹우주망원경 이미지 사본이지만 여기에는 베이스64(Base64)라는 악성코드가 포함되어 있다. 이후 암호화된 DNS 요청을 실시해 C2 서버와 연결한다.
시큐로닉스는 이 멀웨어 확대를 우려하고 있다. 윈도와 맥, 리눅스 등 플랫폼에 좌우되지 않고 유연하게 공격할 수 있는 이점이 있기 때문이다. 궁극적인 공격 목적은 아직 알려지지 않았지만 현재 단계에선 여러 국가에서 광범위한 계층이 공격 대상이 되고 있다고 주의를 당부하고 있다. 물론 제임스웹우주망원경 심우주 원본 이미지에는 아무런 문제가 없는 만큼 나사 사이트에서 안심하고 안전하게 즐기는 게 좋다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
