소니 해킹 사태 당시 발견된 데이터 도난용 멀웨어

여러 가지 면에서 다크호텔 멀웨어와 흡사

[보안뉴스 문가용] 북한의 공식 뉴스 사이트에서 데이터를 훔치는 멀웨어가 연초에 발견된 사건이 있었다. 당시에는 소니 해킹 사태의 여파가 가라앉지 않았던 때라 전문가들은 소니 해킹 사태로 급증한 북한에 대한 관심으로 인해 뉴스 사이트 접속량이 늘 것을 예상한 북한 정부가 의도적으로 멀웨어를 심은 것으로 분석했다. 그러나 멀웨어의 주인은 외부인인 것으로 드러났다.

카스퍼스키랩은 최근 조선중앙통신의 웹사이트에서 발견된 멀웨어가 여전히 메인 페이지에서 활동 중인 것을 발견하고 정식 분석에 들어갔다. 그런데 더 면밀히 멀웨어를 살펴보니 조선중앙통신 웹사이트 제작자와 멀웨어는 아무런 상관이 없는 것처럼 보이기 시작했다.

트리거 원리, 시스템 필요사양 등의 여러 가지 특징이 소니 해킹 사건 때보다 약간 더 전에 발생했던 다크호텔(Darkhotel) 사건에서 사용되었던 멀웨어와 상당히 비슷했던 것. 카스퍼스키의 수석 보안 분석가인 후안 게레로사드(Juan Guerrero-Saade)는 “북한 바깥의 세력이 여기에 개입했을 가능성이 무척 높다”는 의견을 더했다.

게다가 당시 조선중앙통신 웹사이트 자체에도 XSS 취약점이 있었던 것으로 드러났다. 즉 아무라도 그 당시 그 장소에 멀웨어를 심을 수 있었다는 것이다. 또한 멀웨어는 조선중앙통신 웹사이트를 방문하는 외국인보다 오히려 북한 주민들을 노리는 특성을 가지고 있었다. “소니 사태가 워낙 시끄럽기도 했고, 조선중앙통신이 하필이면 또 북한의 사이트라 사람들은 자연스럽게 둘을 연결시켜 생각했습니다. 아무런 고민이나 의심 없이요.”

처음 이 멀웨어를 발견한 건 현재는 폐쇄된 인포섹오터(InfoSecOtter)라는 웹사이트의 운영자였다. 당시 조선중앙통신 웹사이트에서 플래시 플레이어 업데이트 파일로 위장해서 배포되고, 배포된 후에는 방문자의 컴퓨터를 감염시키는 기능을 가진 멀웨어라는 설명이 있었다. “그림이나 영상 콘텐츠를 보려면 그 가짜 업데이트 메시지가 떴습니다. 그래서 그걸 수락하면 악성 ZIP 파일이 다운로드 되고, 이 악성 파일은 플레이 플레이어 업데이트와 똑같이 생긴 실행 파일 두 개로 구성되어 있었습니다.”

그런데 보고와는 달리 멀웨어가 모든 시스템을 감염시킬 수 있는 건 아니었다. 플래시 플레이어 10 혹은 그 이전 버전이 있는 시스템에만 감염이 가능했다. 그보다 최신 버전의 플래시 플레이어가 설치된 시스템에서 멀웨어는 아무런 작동을 하지 못했다. 즉, 누군지 모르지만 해커들은 굉장히 오래된 시스템을 노리고 이 멀웨어를 만들었다는 걸 유추하는 게 가능하다. 아마도 북한 주민들이 가지고 있을 법한 그런 시스템 말이다.

멀웨어는 한번 시스템에 안착하면 정보를 일단 모으기 시작하고, 그 정보를 C&C 서버로 전송한다. 또한 탈착형 드라이브와 네트워크까지도 샅샅이 훑어서 실행파일들을 주로 감염시킨다. 이 멀웨어는 원격에서 설정 변경이 가능하고, 이를 통해 공격자들은 원하는 정보를 멀리서도 얻어낼 수 있게 된다.

게레로사드는 이 멀웨어에서 다크호텔의 흔적을 여럿 발견할 수 있었다고 밝혔는데, 먼저 다크호텔 멀웨어나 조선중앙통신 멀웨어 모두 침투해서 감염시킬 시스템을 굉장히 까다롭게 선별한다. 하지만 퍼져가는 데 있어서는 굉장히 공격적이고 무차별적이다. 둘이 모으는 정보의 종류도 같고, 저장 포맷 역시 매우 흡사하다. 플레시 플레이어처럼 위장한다는 것도 같고 코드 내부에서도 비슷한 흔적이 상당히 발견된다.

그렇게 해서 조선중앙통신 멀웨어는 중국, 말레이시아, 러시아, 대한민국, 대만 등에까지 퍼져나갔다. 그러나 카스퍼스키 측은 왜 아직도 조선중앙통신 사이트에 그 멀웨어가 여전히 남아있는지에 대해서는 ‘잘 모르겠다’는 답밖에 내지 못했다. “그건 확실히 수상쩍긴 합니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>