듀큐의 정보수집 기능, 공격대상 물색일수도

[보안뉴스 오병민] 스턱스넷은 복잡한 형태의 공격이 혼합된 APT 공격이라고 볼 수 있다. 당사 스턱스넷은 윈도우 구동 드라이버로 위장해 철저한 은폐를 시도했으며 발전소와 같은 국가주요시스템(SCADA)을 노린 공격으로 전세계에 긴장감을 선사했다. 이는 영화 다이하드3를 연상케 하면서 사이버테러의 위험성, 더 나아가 사이버전쟁의 위험성을 각인 시켜준 사건이라고 볼 수 있다.

그런데 최근 스턱스넷2라 불리는 듀큐(Duqu)가 등장했다. 기본적으로 스턱스넷과 비슷해 스턱스넷2라 불리며 파일명이 ‘~DQ’을 포함해 듀큐라고 이름이 정해졌다.

물론 차이점은 존재한다. 스턱스넷은 실제로 스카다 시스템을 타깃으로 한 공격 코드였지만 듀큐는 현재까지는 단지 정보수집 기능을 가지는 악성코드라는 점이다.

최상명 하우리 책임연구원은 듀큐에 대한 특징을 이렇게 이야기한다.

△ 하드웨어 기업의 디지털 서명을 사용

△ HTTP와 HTTPS를 이용하여 C&C와 통신을 이용

△ 시스템으로부터 다양한 정보를 수집

일단 스턱스넷이 리얼텍(Realtek)의 디지털 서명을 사용해 합법적인 드라이버로 인식시켜 감시를 피했던 것처럼, 듀큐도 씨미디어(C-Media)의 디지털 서명을 사용해 감시를 피하도록 했다는 점은 동일하다고 말한다.

그러나 시스템으로부터 동작중인 프로세스 정보, 네트워크 정보, 파일 정보, 키로깅 등을 수집해 정보는 ~DQ(num).tmp 로그 파일로 암호화하여 저장했다는 점. 그리고 C&C와 통신할 때 데이터를 JPG 파일 형태로 다운로드 및 업로드 (명령 수신 및 정보 유출)했다는 점은 스턱스넷과의 차이점이라고 최상명 책임연구원은 설명한다. 즉 스턱스넷이 공격을 목표로 한 악성코드였다면 듀큐는 공격 전 정보수집 단계라고 볼 수 있다.

사실 듀큐가 스턱스넷과 같은 조직이 만든 악성코드라고는 단정 지을 수는 없다. 그러나 스턱스넷이 최소 20명 이상의 구루(Guru)급 최고전문가가 정보수집이나 악성코드제작 등 해당분야를 맡아 진행된 대형 프로젝트일 것으로 추측되는 만큼 누군가 의도만으로 쉽게 진행할만한 프로젝트는 아니라는 것은 확실하다.

예컨대 단지 디지털서명을 도용하는 은폐 기능을 위해서 대만 하드웨어 기업인 씨미디어를 해킹했거나 개인키를 탈취하는 단계를 이미 거쳤다는 점만 봐도 간단한 유포형 악성코드라기 보다는 체계적으로 기획된 APT공격이라는 점이 명확하기 때문이다.

이 같은 정황을 봤을 때 듀큐가 과연 스카다 만을 타깃으로 했는지에 대해서도 의문을 가질 수 있다. 물론 허점이 보인다면 스카다 시스템도 공격대상에 포함될 수 있지만, 듀큐의 목적이 정보수집이라는 점을 봤을 때 공격 목표를 광범위한 관점에서 찾고 있다고 충분히 의심할 수 있다. 

듀큐가 철저히 숨어 정보를 수집하는 악성코드라는 점도 이를 뒷받침한다. 결국 스카다를 포함한 모든 환경에서 공격이 가능한 허점이 찾고 있으며 허점이 있다면 공격대상이 될 수 있다는 것이다.

그렇다면 우리나라는 듀큐의 등장으로 인해 얼마 만큼의 보안 긴장감을 느꼈을까? 더 나아가 듀큐의 타깃이 우리나라가 될 수도 있다는 가능성은 얼마나 점쳐졌을까? 이에 대한 대답은 우리나라의 보안 상황에 대한 점수라고 볼 수 있다.

 

스턱스넷이나 듀큐의 타깃은 어느 나라 어느 곳이라도 될 수 있다. 그러나 보안이 잘 되지 않는 곳이 우선적인 공격 대상에 포함된다는 것을 간과하지 말아야 한다. 이것이 우리가 듀큐를 보면서 더욱 긴장해야 하는 이유이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>