소프트웨어 산업이 점점 모듈화 되어 가듯이

레긴 활용하면 해커들은 비용과 시간 크게 절약할 수 있을 듯

[보안뉴스 문가용] 최근 시만텍과 카스퍼스키는 지능형 지속 공격(APT)인 레긴(Regin)에 대한 보고서를 발간한 적이 있다. 시만텍은 이 멀웨어의 기술적인 부분에 집중을 하면서 레긴이 얼마나 지능적이고 앞선 기술력을 갖추고 있는지 밝혀냈고, 카스퍼스키는 피해자들을 집중적으로 분석해 공격자들의 목표가 무엇인지, 어떤 동기를 가지고 있는지를 밝혀내고자 했다. 어떤 측면에서 봐도 레긴의 파괴력은 어마어마해 보였는데, 특히나 프로그램이 가능하다는 게 가장 위협적인 것으로 보인다. 이것 하나 때문에 APT의 경제와 운영 방식이 한 순간에 바뀌고 말았다고 할 수 있을 정도로.

다른 APT들과는 달리 레긴은 ‘완성품’ 패키지가 아니다. ‘진화가 가능한’ 방식의 설계를 차용하고 있어 최신 소프트웨어 디자인 트렌드를 그대로 반영하고 있다. 소프트웨어 산업도 처음에는 구석기 시대의 방식과는 조금도 다르지 않은 방식으로 제품을 생산하고 유통했다. 하나의 독립된 완성품 자체로 출시된 것이다. 그런 제품들은 기능을 수행하는 데에 필요한 로직과 하위 기능을 모두 갖추고 있었다. 이런 제품은 그러나 사용이 쉽지도, 비용이 저렴하지도 않았다. 사용자가 적응을 해야 했고, 유지보수가 간편하지도 않았다. 결국 회귀 테스트, 수정, 리엔지니어링 단계가 늘어지고 그에 따라 가격도 올라가기 일쑤였다. 또한 특정 기능만을 수행하도록 경직된 상태로 나온 게 대부분이라, 비슷하지만 조금은 다른 기능을 수행하는 데에도 의외로 잘 안 되는 경우가 많았다. 혹은 일부 기능만 필요하지만 소프트웨어 전체를 불필요하게 구매해야 하기도 했다.

이런 ‘완제품’ 소프트웨어의 문제점에 대한 해결책은 ‘모듈화’였다. 즉, 조각조각 내는 것이었다. 커다란 로직의 테두리 안에서 소프트웨어의 각 부분이 기능별로 분리되었다. 분리되었을뿐 아니라 각 조각들을 가지고 여러 가지 방식의 조합을 꾸릴 수도 있게 되었다. 모듈과 모듈 사이에는 표준화된 통신 방법이 설정되었고, 이 표준을 지킨다는 전제 하에 모듈은 얼마든지 작은 수정이나 변화도 가능했고 심지어 다른 모듈과 완전 교체도 가능했다. 그러면서도 전체 기능에는 전혀 이상이나 변화가 나타나지 않았다. 레고 블록을 생각하면 간단하다. 소프트웨어가 하나의 커다란 성 모양 장난감 대신 작은 블록들이 된 것이다.

SOA?

이렇게 ‘모듈화’시키는 방식의 건축 혹은 설계 방식이 가장 잘 정착되고 발전한 건 서비스지향아키텍처(Service Oriented Architecture, SOA)라는 미들웨어 플랫폼 분야다. 개발자들에게 인프라 요소들을 제공하는 플랫폼으로 사업 운영에 필요한 전체 로직과 그 로직이 구현되는 데이터를 연결시킬 수 있게 해주는 기능을 가지고 있다. 데이터 전송 기능, 변형 및 중재 기능, 시간차가 있어도 통신을 가능케 해주는 기능, 데이터 접근 통제, 아이덴티티 관리, 데이터 분석, 애플리케이션 실행, 실시간 사건 프로세싱 및 분석 기능 등이 이 플랫폼에서 수행하는 일들이다.

개발자들은 SOA를 활용해 유연하고 재활용이 가능한 애플리케이션 인프라를 만든다. 제대로 설계가 되고 시행이 된다면 애플리케이션 인프라는 사업 운영의 거대한 로직을 수행하는 것에서나 실제로 데이터를 처리하는 것에서나 절대적인 존재가 되어버린다. 그래서 휴대폰 네트워크 인프라를 가지고 군사용 지휘 및 통제 시스템을 구축할 수 있고 자동 콘서트 티케팅 서비스를 만들 수도 있는 것이다. 큰 줄거리는 가지고 가되 사업에 따른 애플리케이션 모듈 일부와 데이터만 바꿔주면 된다. 물론 이 역시도 말처럼 간단한 일은 아니다. 하지만 매번 소프트웨어를 통째로 만드는 것에 비하면 작은 일이 분명하다. 비용, 인적 자원, 드는 시간을 전부 고려해도 말이다.

레긴 역시 이런 애플리케이션 플랫폼과 같은 성질을 가지고 있다. 즉 그 자체로서는 딱히 멀웨어라고 할 수는 없다는 것이다. 하지만 공격자들이 다양한 사업(?)을 실행할 수 있도록 로직을 탑재시킬 수 있는 더없이 훌륭한 장이다. 기존의 멀웨어가 예전 구석기 시대 방식의 소프트웨어였다면 레긴은 사용자의 손에서 무한하게 변할 수 있는 최신의 소프트웨어라는 것이다.

도대체 레긴의 아키텍처가 어떻기에 이게 가능한 것일까? 두 업체의 보고서에 나오듯 레긴은 다섯 단계로 로딩 된다. 그 중 네 번째 단계에서는 애플리케이션 프로그래밍 인터페이스(API)를 호환하는 플러그인을 설치하고, 통신, 저장, 데이터 전송과 같은 복잡한 일들이 벌어진다. 미들웨어로 따지자면 이런 기능들이 바로 레긴의 애플리케이션 인프라라고 볼 수 있다. 마지막인 다섯 번째 단계에서는 키로거부터 이메일 메시지 추출기, 지휘 및 통제 유틸리티까지 사업 로직 애플리케이션들을 이용자의 상황 및 목적에 맞게 모아서 조합한다.

SOA가 소프트웨어 산업에 변혁을 일으켰듯이 레긴 역시 사이버 위협 경제 지도를 전혀 새롭게 바꾸어 놓을 것으로 보인다. 레긴이 있기 때문에 이제 해커들은 새로운 목표를 향해 APT를 실행할 때마다 프로그램을 새롭게 짜는 등의 노력을 할 필요가 없어졌다. 대신 레긴이라는 플랫폼을 먼저 시작한 후 필요한 대로, 여건에 맞는 대로 조그만 일부만 낮은 비용으로, 빠른 시간 안에 완성시키면 된다. 해커들 입장에선 효율이 무척 높아질 수밖에 없으며 이로써 공격의 빈도수 역시 늘어날 수밖에 없다.

레긴은 멀웨어가 태생적으로 가지고 있던 경제 및 효율성의 한계를 모두 해결했다는 점에서 대단히 큰 위협거리가 되었다. 이를 활용한 해커들의 움직임이 얼마나 빨라질지 상상도 가지 않는다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>