• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

소니 픽처스 공격한 것으로 보이는 자폭 멀웨어 경고 2014.12.03

훔치는 걸 넘어 시스템을 아예 못 쓰게 만들어버리는 멀웨어

이런 식의 공격에 아직 대비책 전혀 마련되어 있지 않아


[보안뉴스 문가용] 아직 소니 픽처스 해킹 사건의 전모가 드러나지 않은 상태다. 누가 해킹을 했는지, 어떤 경로로 침입했는지, 소문은 무성한데 아직 정확한 수사 결과가 나오지는 않았다. 하지만 한 가지 사실 하나는 확실하고 구체적으로 드러났다. 소니 사태와 연관이 깊은 것으로 보이는 강력한 파괴력의 멀웨어가 바로 그것이다.

 


로이터 통신이 오늘 아침(한국 시간으로 어제 밤) FBI가 몇몇 기업에 발행한 깜짝 경고를 입수해 보도함으로써 이 멀웨어의 존재가 드러났다. 데이터를 지우면서 돌아다니는 멀웨어가 나타났으니 각별히 주의하라는 내용이었다. 그냥 데이터만 지우는 것이 아니라 마스터 부트 기록까지 지워서 PC를 ‘벽돌화’시킨다고 하는 이 멀웨어는 소니 픽처스 사건과 연관있는 것으로 전문가들은 보고 있다.


그러나 그 연관성에 관해 FBI가 직접 확정해서 언급하고 있지는 않다. 다만 타이밍도 그렇고 여러 가지 정황이 둘의 연결고리를 심상치 않게 만들고 있다. 일단 멀웨어가 모습을 드러낸 것은 누군가 소니 픽처스에 침입해 영화들뿐 아니라 직원들의 의료 정보와 연봉 정보까지 훔쳐간 후 소니의 이메일 시스템이 1주일 동안 다운되었다는 소식이 있고난 직후였다. 혹자는 소니 픽처스가 북한에 관한 영화, <더 인터뷰>를 공개하기 직전에 발생한 사건이라는 점에 주목하여 정치적 목적을 가진 북한 해커들의 소행이라고 분석하기도 했다.


하지만 아직까지 그 모든 것은 소문일뿐, 사건의 진상은 아직도 밝혀지고 있는 상태다. 다만 FBI가 경고문을 발송했다는 것만은 공식 사실이다. 그러므로 데이터를 지우고 다닌다는 멀웨어의 존재도 분명히 사실이다. 이제 기업들은 누군가 지적 재산을 훔쳐가는 것뿐 아니라 아예 서버를 다운시켜서 업무 자체를 마비시킬 수 있다는 것까지 염두에 두고 방어책을 세워야 한다.


물론 이런 류의 멀웨어가 완전히 새롭게 등장한 것은 아니다. 보안 연구원들은 이미 한참 전부터 삭제 기능을 가진 멀웨어를 추적해왔다. 이번 사건 전에는 사우디 아람코(Saudi Aramco)라는 석유회사가 멀웨어의 파괴력에 당한 바 있는데, 당시 무려 3만대의 PC가 벽돌처럼 굳어져 부트조차 되지 않았었다. 그때 사용된 멀웨어는 샤문(Shamoon)이라는 이름을 가졌었다.


“남의 컴퓨터 안으로 들어가 시스템을 파괴할 수 있는 기능은 이미 20년 전부터 있었습니다. 그리고 나타날 때마다 큰 반향을 일으켰지요. 사람들에게 큰 경각심을 심어줬던 사건들이었습니다.” 파이어아이의 리차드 베이틀리치(Richard Bejtlich)가 당시 했던 설명이다. 지금 소니 픽처스의 사태 역시 이런 사건의 연장선에 있을 가능성이 크다.


트렌드 마이크로의 톰 켈러만(Tom Kellermann)은 북한 해커들이 비슷한 전략을 작년에 사용한 적이 있다고 한다. “북한 해커들은 이미 2013년부터 이런 공격들을 감행해 왔습니다. 바로 다크 서울 캠페인이죠. 남한 사회 이곳저곳에 마비 현상이 왔었죠.”


그리고 그때의 그 공격이 지금에 와서 전부 증발해버린 것도 아니다. 다만 사람들의 기억에서 멀어졌을 뿐이다. FBI의 이번 경고문은 작년에 유행했던 공격이 다시 살아나고 있을지도 모른다는 가능성을 제시한다. 애큐번트(Accuvant)의 제프 혼(Jeff Horne)은 심지어 “데이터를 지워버리는 공격은 그 어떤 때보다 현재 가장 활발하게 일어나고 있다”고 한다. 이제 기업들이 리스크 관리를 할 때 데이터가 모두 날아갈 수도 있다는 걸 염두에 두어야 한다는 게 그의 설명이다. 그리고 그것은 기존의 멀웨어 대처법과는 완전히 달라야 마땅하다.


“코드 안에 일명 ‘킬 스위치’가 있는 멀웨어라면 사후 대처 혹은 충격 완화 전략이 완전히 달라질 수밖에 없습니다. 에너지 관련 회사들은 그래서 아주 사소한 공격 징후가 발견되면 즉시 인터넷을 완전히 차단합니다. 그런데 요즘은 또 그런 것에 대항한 ‘시한폭탄’ 멀웨어도 있어요. ‘20시간 내로 인터넷이 연결되지 않으면 자폭’하는 기능을 가진 것들이죠. 골치가 아픕니다.”


테너블 네트웍크의 CEO인 론 굴라 역시 ‘심상치 않은 문제’라고 했다. 현재 보안 체계는 정보를 ‘훔치는’ 멀웨어에 초점이 맞춰져 있기 때문이다. “소니를 공격한 방식의 공격이 계속해서 일어난다면 2015년은 2014년이 평화의 시기로 보일만큼 혼잡하고 공포스러울 겁니다. 분명한 건 적어도 미국에서는 아직까지 자폭하는 멀웨어에 대한 대처가 올바로 되어 있는 조직이나 업체가 한 군데도 없다는 겁니다.”


2015년을 맞이하는 현재 국제 보안계는 화이트 크리스마스를 예고하려는 듯 설상가상의 연속이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>