백오프 공격 전 근처의 영상 감시 장비로 관찰을 먼저 한 듯

미스터리로 남아있던 백오프 멀웨어의 출처, 인도인듯

[보안뉴스 문가용] 크리스마스가 코앞으로 다가오면서 소매업자들이 신경 쓸 게 늘어만 가고 있다. 그러나 대부분 판매와 매출, 홍보 등에 초점이 맞춰져 있지 사이버 범죄 등을 생각하고 있지는 않다. 문자 그대로 해커들이 아주 가까이에서 그런 사장님들을 지켜보고 있는데, 그게 잘 체감되지 않는 듯 하다. 지켜본다는 말이 과장된 게 아닌 것은 해커들이 요즘에는 매장에 있는 네트워크 감시 카메라를 주로 노리고 있다는 내용의 보고서 때문이다. 이 사실은 이번 주 RSA에서 발간한 POS 멀웨어 관련 보고서를 통해 보다 자세히 설명되고 있다.

올 여름, US-CERT는 백오프(Backoff) 멀웨어에 관해 경고한 바 있다. 당시 나온 백신 프로그램으로는 감지가 어려운 것으로 브루트포스 방식을 통해 POS 시스템을 감염시키는 것으로 묘사됐었다. “하지만 이 경고문에는 설명이 매우 부족했습니다. 특히 해커들이 목표로 삼고 있는 컴퓨터 시스템이 회사에서 운영하고 있는 건지 매장별로 독립적으로 운영하는 건지 어떻게 파악하느냐가 중요했는데, 그 점에 대한 설명이 없었거든요.” RSA측의 말이다.

그런 경고가 있은 후 보안 업체들은 백오프에 대한 정보를 모으기 시작했다. 연구를 하면 할수록 백오프 공격이 성립하려면 공격의 목표가 되는 IP에 달려 있는 컴퓨터가 회사의 중요한 정보를 담고 있는지 아니면 그냥 개인용 컴퓨터인지 파악하는 과정이 반드시 필요하다는 게 드러났다. 그러다가 한 가지 ‘엉뚱한’ 패턴이 관찰되었다. 백오프 공격 대부분이 영상 감시 서비스 가까이에서 일어났다는 것이다. 우연이기에는 너무 자주 반복되는 패턴이었다.

“뻔할 수밖에 없었습니다. 원격 데스크톱 접속과 인터넷과 연결된 영상 감시 서비스, 그리고 공격 목표의 중요도를 파악해야만 하는 공격의 속성. 다 하나로 연결되지요?” 영상 감시 서비스를 통해 먼저 들어와 공격할 시스템을 관찰했다는 것이다. 그리고 그 관찰 기록을 통해 정확한 목표물을 짚어내는 데 성공한 것이다. 그러다보니 백오프 멀웨어를 사용하는 모든 해커들이 전부 브루트포스를 활용하는 게 맞는가 하는 질문을 던질 수밖에 없었다. 정말 이것뿐이었을까? “감염된 시스템들을 분석하다보니 이 질문은 곧 의심으로 이어졌습니다. 브루트포스 외에도 다른 방법이 꼭 있어야만 감염에 성공할만한 상황이 분명히 존재했습니다.”

감시 카메라와의 연관성도 드러났고, 백오프 속성 자체에 대한 새로운 사실이 하나둘 드러났다. RSA 연구원들은 그때까지 알려진 백오프의 속성들을 전부 확인해보았다. 그러다보니 백오프의 최초 발원지라고 의심되는 곳이 나왔다. 인도였다. 멀웨어의 C&C 제어판에 접근하려는 자의 요청을 추적한 결과 호스팅 서버는 네덜란드에 있는 것으로 나왔는데, 그 브라우저의 시간 설정이 인도의 그것에 맞춰져 있었기 때문이다.

동시에 백오프 샘플을 여러 개 분석하는 것도 잊지 않았다. 그러다보니 연식이 좀 되어 보이는 것이 하나 있었다. 방금 컴파일러에서 나온 ‘신선한’ 멀웨어가 아니었다. 마치 백오프의 화석 같은 모습이랄까. “어쩌면 백신 시스템 우회를 테스트해보기 위해 멀웨어를 최초로 제작한 인물이 사용한 샘플이 아닐까 하는 생각이 들었습니다.” 그리고 그 멀웨어의 출처 역시 인도였다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>