시클리너 사태, 넷사랑 사태, 셰도우해머 사태를 일으키며 이름을 알려온 셰도우패드 멀웨어가 이제는 어엿한 공격 플랫폼으로 자리를 잡아가고 있다. 특히 중국 APT 단체들 사이에서 인기가 높다고 한다. 그 이유는 모듈 구성과 독특한 판매 전략이다.

[보안뉴스 문가용 기자] 보안 전문가들이 셰도우패드(ShadowPad)라는 멀웨어 플랫폼을 조사해 “충분한 위협이 될 수 있다”는 결론을 내렸다. 셰도우패드는 2015년에 처음 나타난 멀웨어이며, 최소 4개 단위의 정찰 캠페인에 활용된 바 있다는 게 보안 업체 센티넬원(SentinelOne)이 자사 블로그를 통해 밝힌 내용이다. 시클리너(CCleaner), 넷사랑(NetSarang), 셰도우해머(ShadowHammer)와 같은 과거 유명 공급망 공격 사태에도 셰도우패드가 연루됐었다.


지난 수년 동안 셰도우패드는 중국 정부가 지원하는 해킹 조직들의 플랫폼으로써 활용되는 모습을 보였다. 원래는 플러그엑스(PlugX)나 레드리브즈(RedLeaves) 등 다양한 RAT 도구들을 사용하던 단체들이었다. 여러 멀웨어 플랫폼을 전전하던 이들이 셰도우패드에 정착하게 된 이유는 빌더가 어떤 식으로 셸코드를 생성하고 감염된 호스트를 공격자가 어떤 식으로 제어하게 되는지 등 전체적인 원리를 공격자 편에서 인지하기가 더 쉬웠기 때문인 것으로 분석된다.

센티넬원의 수석 위협 분석가인 J.A 게레로사드(J.A Guerrero-Saade)는 “셰도우패드는 꽤나 높은 인기를 끌며 공격자들 사이에서 최고로 선호되는 공격 플랫폼이 되었다”고 말한다. “플러그엑스라는 인기 도구가 빠르게 대체됐죠. 보안 업계에서는 플러그엑스와 셰도우패드 사이의 관련성에 대해 이런 저런 추측이 있어 왔는데, 수년 동안 이들을 추적해 본 결과 공격자들이 먼저 사용하던 도구와 나중에 사용하기 시작한 도구라는 관계만 있었을 뿐입니다.”

플러그엑스는 다크웹에서 공개적으로 판매되던 도구였지만 셰도우패드는 그렇지 않았다는 점도 공격자들이 선호한 것으로 보인다. “셰도우패드는 특정 인물들에게 선택적으로만 판매되었습니다. 누구나 사용할 수 있는 도구가 아니었습니다.” 그러나 셰도우패드가 모듈 구조를 가지고 있었다는 것만큼 셰도우패드의 인기를 설명해 주는 특성은 없다고 게레로사드는 설명한다. “모듈 구성은 몸체가 되는 멀웨어에 여러 가지 플러그인을 떼었다 붙였다 하는 방식으로의 운영을 가능하게 합니다. 멀웨어를 통째로 몇 개씩 비축할 필요가 없는 거죠. 실제로 많은 공격자들이 이런 모듈 구성을 선호하기도 합니다.”

셰도우패드는 모듈 방식 및 셸코드로 구성된 백도어라고 간단히 요약할 수 있다. 실행되면 난독화 기술이 적용된 셸코드 로더가 복호화 과정을 거치게 되고, 플러그인 하나가 로딩된다. 그러면서 여러 가지 플러그인들이 공격 유형과 공격자의 목적에 따라 셸코드 형태로 메모리 내에서 로딩된다. C&C 서버를 통해 플러그인을 추가하는 것도 가능하다. 선행된 공격을 통해 진행된 상황을 종합해 간편한 추가 공격을 이어갈 수 있게 되는 것이다.

이론 상 암호화 및 압축만 셰도우패드와 호환되게 할 줄 알면 플러그인을 만드는 것도 가능하다. 그렇다는 건 세도우패드를 통해 무궁무진한 공격을 이어갈 수 있다는 뜻이다. 문제는 셰도우패드가 공개된 플랫폼이 아니라는 것이다. 그렇기 때문에 구글이나 애플 생태계처럼 개발자들이 너도 나도 앱을 개발해 올려 둠으로써 플랫폼 전체가 풍요로워지지는 않는다. 센티넬원에 따르면 아예 그런 식으로 셰도우패드가 설계된 것도 아니라고 한다. 현재까지는 셰도우패드의 원 개발자가 만든 플러그인들만 존재하는 상황인 것으로 보인다.

“현존하는 모든 플러그인들을 수집해서 분석하고, 그 배포 형태까지 조사했을 때 저희 안에서 내려진 결론은, 개발자에게 분명한 의도가 있다는 겁니다. 그것은 바로 셰도우패드를 배포하고, 그에 맞는 플러그인을 단독으로 개발해 하나하나 파는 것이죠. 즉 개발자가 수익을 높이기 위해 셰도우패드를 모듈 구성이지만 폐쇄된 환경으로 만들었다는 겁니다.”

게레로사드에 의하면 “플러그인을 외부인이 개발하려면 셰도우패드 개발자만이 아는 지식이 필요하다”고 설명한다. 아직까지 한 번도 이러한 지식적 배경 없이 만들어진 플러그인은 발견되지 않았다고 한다. 또한 “개발자가 특정 구매자에게만 특정 플러그인을 제공하는 것과 같은 흔적도 발견되었다”며 “단순 수익만이 아니라 생태계 운영에도 개발자가 큰 영향을 행사하고 싶은 것으로 보인다”고 게레로사드는 설명한다. “그래서 어떤 해킹 단체들은 자신들이 구하지 못한 플러그인을 구하기 위해 최대한 비슷한 도구나 플러그인 비슷한 걸 만들기도 했습니다.”

셰도우패드의 사용자들을 위한 제어판도 존재하는데(이것 역시 중국 해커들의 인기를 얻어낸 요인으로 보인다), 이 제어판은 델파이로 제작됐으며, 멀웨어 생성은 물론 백도어 통신 제어 기능도 가지고 있다. 사용자는 이 인터페이스를 통해 셰도우패드로 감염된 호스트와 C&C 서버를 관리할 수 있고새로운 셰도우패드 셸코드를 만들 수도 있다. 이 때문에 보안 업계에서는 “중국 해커들의 무기치고 대단히 독특하다”는 의견이 나오기도 했었다.

현재까지 셰도우패드의 고객으로는 2017년부터 현재까지 5개 조직 정도가 발견되어 왔다. 윈티(Winnti) 혹은 APT41로 불리는 유명 APT 단체도 여기에 포함되어 있다. 이 윈티 조직은 바륨(Barium)과 레드(Lead)로 나뉘어 활동하기도 한다. 그 외에 발견된 셰도우패드 고객은 틱(Tick), 톤토팀(Tonto Team), 오퍼레이션 레드보너스(Operation Redbonus), 오퍼레이션 레드칸쿠(Operation RedKanku), 피시몽어(fishmonger) 등으로 불리는데, 센티넬원은 이들을 한 동안 더 추적할 것이라고 한다.

셰도우패드를 사용한 고개들 중 일부는 셰도우패드의 편리함을 맛본 이후 스스로 개발하는 걸 완전히 중단하기도 했다. 셰도우패드라는 플랫폼을 유지하면서 비교적 저렴한 가격의 플러그인을 구매하기만 하면 원하는 공격을 할 수 있기 때문에 효율적이기 때문이다. “스스로 개발을 한다는 건 개발 능력에 큰 자신이 있는 게 아니라면 늘 ‘실수’의 위험성을 안게 되는 행위입니다. 이 실수 하나 때문에 자신들이 역으로 추적을 당할 수도 있습니다. 게다가 시간과 노력도 많이 들어가죠. 하지만 셰도우패드에서는 아직까지 그러한 문제가 나타난 적이 없었습니다. 자연스레 돈을 좀 주고 믿을만한 걸 사는 편을 택하게 되는 겁니다.”

이는 방어 담당자들에게 좋지 않은 소식이다. 셰도우패드가 조금씩 고객 층과 플러그인을 늘려 가면 보다 효율적이고 실수가 적은 깔끔한 공격이 증가할 것이기 때문이다. 또한 비슷한 양상의 공격이 증가하면 공격자의 파악이 더 어려워진다. “셰도우패드가 처음 발견됐을 땐 특정 그룹만의 독특한 도구인 줄 알았습니다. 그래서 여태까지 보안 업계가 그리 경계하지 않았었죠. 하지만 이제는 이야기가 달라졌습니다. 그 동안 발전을 해오고 고객층을 확보하면서 굳건한 위협이 되어버렸습니다.”

3줄 요약
1. 2015년 처음 나타났을 때만 해도 그저 그런 멀웨어였던 셰도우패드.
2. 모듈 구성과 독특한 플러그인 판매 전략으로 주요 APT의 선호되는 공격 장비가 됨.
3. 앞으로 고객 늘어나고 플러그인도 증가하면 더 위협적인 존재가 될 예정.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>