멀웨어 분석을 어렵게 만들었던 파괴형 멀웨어, 롬버틱

근원지 추적하자 나온 건 보안의식 전혀 없었던 한 청년

[보안뉴스 문가용] 멀웨어가 점점 기술적으로 고급스러워지고 있다. 그렇다고 공격자들의 목적이 점점 더 악해진다는 건 아니다. 뭔 아닌 밤중에 봉창 두들이냐는 소리라고 반문할 수도 있다. 그러나 이런 식의 ‘상대 의도에 대한 첩보’는 보안에 있어서 굉장히 중요한 정보다. 그 의도를 파악해야 방어의 우선순위를 정해 효율을 높일 수 있기 때문이다.

지난 달, 시스코 탈로스(Cisco Talos), 시만텍, 블루코트 랩스(BlueCoat Labs)는 전부 롬버틱(Rombertik)이라는 강력한 파괴형 멀웨어의 분석에 매달리고 있었다. 이 계통에서는 잔뼈가 굵을 대로 굵어진 기업들이 분석에 ‘매달려야’ 할 정도로 애를 먹은 건 이 멀웨어가 ‘안티 분석 기능’을 가지고 있었기 때문이다. 분석의 시도가 포착되면 바로 시스템을 다운시키는 기능이었다.

대단한 기술이 아닐 수 없었다. 수사기관이나 포렌식 팀을 떨쳐내고자 하는 멀웨어 제작자라면 누구나 배워보고 싶을 정도로 말이다. 그러나 롬버틱 자체를 분석했던 위 기업들과 달리 롬버틱의 근원지를 추적하던 쓰레트코넥트(ThreatConnect)는 이런 대단한 기술을 사용한 롬버틱의 사용자(혹은 제작자)가 사실 굉장히 부주의하다는 사실을 발견하고 뜨악했다고 한다.

“롬버틱을 사용한 이유나 동기에 대해 추측하는 게 하나도 어렵지 않았습니다. 놀라울 정도로요.” 쓰레트코넥트의 CIO인 리치 바거(Rich Barger)의 설명이다. “빠르게 돈을 벌고 싶다, 그 이상도 이하도 아니었습니다.” 쓰레트코넥트의 수사망 끝에 걸린 이는 30세의 카요데 오군도쿤(Kayode Ogundokun)이라는 나이지리아 청년으로 칼리스카이(KallySky)라는 ID를 가지고 활동하고 있었다. 페이스북, 트위터, 링트인, 블로거, 유튜브 등 각종 SNS에서 활발하게 활동하며, 심지어 해킹하는 법에 대한 튜토리얼까지도 적극 제공하는 중이기도 했다.

“사실 자신의 범행을 숨기려는 노력을 하긴 했나 싶을 정도였습니다. 만약 한 것이라면 롬버틱이란 멀웨어의 수준이 무색할 정도의 정말 어설프기 짝이 없는 범행이 아닐 수 없습니다.” 오군도쿤은 유튜브 튜토리얼에서 자신의 이메일과 전화번호를 공개하기도 했으며 은행계좌와 암호까지도 평이한 텍스트로 공개하기도 했다고.

“그렇다고 공격의 측면에서 기술이 특출나게 뛰어난 것도 아니었습니다. 결국 할 줄 아는 건 RAT와 봇넷을 이메일을 통해 퍼트리는 것 정도였습니다. 또한 너무 노골적으로 금융 정보만을 노리는 등 정보전과 핵티비스트 따위의 복잡한 동기로 이루어진 요즘 시대의 공격 수준을 전혀 따라가지 못하고 있었습니다.”

그래서 사실 쓰레트코넥트 측은 오군도쿤이 롬버틱을 만든 장본인이라고 보고 있지는 않다. “더 나은 실력자에게서 구매한 것으로 보입니다. 요즘 이런 식으로 해킹 툴을 판매하는 게 유행이기도 하고요.” 처음 롬버틱을 발견했을 때 보안업계는 ‘우리가 알던 인터넷의 시대는 저물었다’고 할 정도로 공포와 전율에 사로잡혔다. 그러나 쓰레트코넥트의 이런 ‘허술함에 대한 발견’ 덕분에 이 공포는 많이 잦아들었다. 생각보다 별거 아니다, 라는 게 이제는 중론이다.

바거는 멀웨어나 공격에 대한 이런 식의 접근도 충분히 ‘보안 향상’에 도움이 된다고 주장한다. 모두가 멀웨어 자체를 해부하고 쪼개고 맛보는 데 주력할 수는 없다는 것이다. “이제 공격에 대해서 한 가지 방법으로만 해결책을 강구할 수 없습니다. 기술적인 접근이 있다면 보다 더 전략적인 접근도 동시에 이루어져야 합니다.”

그러나 다른 한 편에서는 위협 및 해킹, 공격에 대해 파악하는 것에 있어 ‘누가 범인인가?’라는 질문이 무의미하다는 주장도 나오고 있다. “물론 한계가 있습니다. 누가 했는지 알아내는 게 쉬운 것도 아니고, 알아낸다 하더라도 사건 분석에 크게 도움이 안 될 수도 있습니다. 그래도 저희는 알아내려고 노력합니다. 단지 ‘누구 했느냐’보다 ‘왜 했느냐’도 이 과정에 함께 넣는다는 게 차별점이라면 차별점이라고 할 수 있습니다.” 바거의 설명이다.

정확한 범인을 짚어내는 게 사건에 따라 수년씩 걸릴 수도 있다는 주장도 있다. 바거는 이에 대해 그 범인을 찾아가는 과정 중에 얻어진 정보들도 값어치가 있다고 반박한다. 그렇다고 ‘범인 색출’이 뭐든지 해결해줄 수 있는 핵심 정보라고 주장하는 건 아니다. “여기에 변수가 또 있는데, 수사라는 게 워낙 누군가 단독으로 진행할 수 없는 것이라 누가 여기에 얼마큼의 노력을 들여 협조해 주느냐도 여러 가지 사안에 영향을 미칩니다. 그리고 이는 예측이 불가능한 영역이죠.”

하지만 이런 여러 가지 주장에도 ‘범인이 누구인가’를 밝혀내는 데에 주력할 수밖에 없는 건 “윗분들이 대게 제일 먼저 물어보는 게 ‘누가 그랬어?’이기 때문”이라고 그는 정리했다. “누군가는 항상 범인의 정체를 궁금해하기 마련입니다. 그렇다면 이것이 설사 비효율적이고 가치 없는 정보라도 알아내야죠.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>