뛰어난 스텔스 기능 때문에 침입 여부 단정짓기 곤란

데이터 송수신 원리 안 밝혀져 범죄 동기도 파악하기 힘들어

[보안뉴스 문가용] 지난 주 카스퍼스키가 공개한 두쿠 2.0 캠페인이 업계에 큰 반향을 불러일으켰다. 국가가 배후에 있는 듯한 해킹 단체가 보안 회사의 각종 해킹 방어 기술을 노렸다는 사실 자체가 새롭고 동시에 충격적인 소식이었기 때문이다. 카스퍼스키는 자사가 해킹 당한 것임에도 불구하고 이 공격을 세상에 자세히 알렸으며, 동시에 두쿠 2.0이란 신기술에 왜 당할 수밖에 없었는지도 밝혔다. 하지만 아직도 다 분명하게 알려지지 않은 내용들이 있으니, 추가적인 두쿠 2.0 관련 소식이 나오기 전까지 한 번 정리하는 차원에서 이 미스터리들을 정리해본다.

1. 카스퍼스키 외에 다른 곳도 당했는가?

일단 시만텍, 파이어아이, 트렌드 마이크로는 두쿠 2.0에 당하지 않은 것으로 밝혀졌다. 이 외에 적어도 자발적으로 두쿠 2.0에 당한 것을 밝힌 정보보안 기업은 아직 나타나지 않았다. 하지만 두쿠 2.0의 놀랍도록 신박한 ‘스텔스 기능’을 생각해보면 ‘우린 당한 적 없다’는 보고를 마냥 순진하게 믿을 수도 없는 노릇이다.

여기서 두쿠 2.0의 스텔스 기능을 간단히 설명하면, 이 신종 멀웨어는 하드드라이브가 아니라 100% 메모리에서만 기능을 하기 때문에 컴퓨터가 꺼지는 순간 침입 및 공격의 흔적도 모두 함께 사라지며, 컴퓨터 리부트 기능은 공격자들 편에서도 실행이 가능하다. 즉 정확히 침입 여부를 판단할 수 있는 근거가 아직까지 우리에겐 없다는 뜻이다. “디스크 파일도 없고 레스트리 변경도 일어나지 않으니 뭐가 왔다간들 알아 낼 방도가 없습니다. 불가능에 가깝죠.” 유진 카스퍼스키(Eugene Kaspersky)의 설명 그대로다.

카스퍼스키도 이상 징후를 발견하기까지 몇 달이 걸렸을 정도라고 한다. 카스퍼스키의 또 다른 분석가인 커트 봄가트너(Kurt Baumgartner)는 피해자가 더 있을 것이라고 확신하는 쪽이다. “두쿠 2.0의 공격 대상자는 세계 곳곳에 퍼져있음이 분명합니다. 아마 적어도 100개의 단체나 기관은 이미 장악 당했으리라는 게 제 개인적인 예상입니다. 게다가 지금까지 알려진 두쿠 2.0의 공격 기관이 정치적인 지형도와도 연결되어 있기 때문에 단지 그 몇 개 기관과 카스퍼스키만 당했다고 보는 게 오히려 부자연스러울 지경입니다.”

2. 어떤 제로데이 취약점을 악용했는가?

카스퍼스키에서는 세 가지 취약점 중 두 가지 제로데이 취약점을 발견하는 데에 성공했다. 역학조사를 통해 최초의 침투가 이루어진 곳에 대한 정보 역시 파악하는 데에 성공했는데, 바로 카스퍼스키 아태지역 사무실의 한 직원에게 보내진 스피어피싱 공격이었다. 다만 공격자들이 이 최초의 공격을 감행하는 데에 있어서 어떤 취약점을 활용했는지는 아직 밝혀내지 못하고 있다. 그 취약점이 바로 세 가지 취약점 중 아직도 밝혀지지 않은 한 가지 취약점이다.

봄가트너는 CVE-2014-4148을 유력한 후보로 올려놓고 있다. 워드 문서로부터 공격자가 커널모드를 실행할 수 있도록 하는 제로데이 취약점인데, 아직 ‘확실시’되지는 않고 있다. 이는 시만텍도 마찬가지다. “가장 큰 문제는 두쿠 2.0의 감염 경로를 아직도 잘 모른다는 겁니다. 현재 시만텍 고객들 중 두쿠 2.0에 당한 고객들을 분석 중에 있습니다.” 시만텍의 비크람 타쿠르(Vikram Thakur)의 설명이다.

3. 그래서, 정확히 도난당한 건 무엇인가?

유진 카스퍼스키는 두쿠 2.0을 통해 공격자가 접근한 정보에 무슨 일이 일어난 것인지는 정확히 파악하지 못하고 있다고 밝혔다. “뭘 원한건지, 침투의 목적이 무엇이었는지 아직까지 확실히 밝혀내지 못했습니다.”

타쿠르는 두쿠 2.0 사태에서 가장 눈에 띄는 건 드나듦의 자유로움이라고 타쿠르는 평가한다. “시스템에 파일을 전혀 남기지 않습니다. 그래서 컴퓨터를 껐다가 다시 켜면 아주 깨끗한 상태가 되는 거죠. 이 말은 즉, 공격자들이 컴퓨터가 켜져 있는 시간 동안 충분한 정보를 탈취할 수 있었다는 겁니다. 실제 그렇게 한 것으로 보이고요.” 타쿠르와 시만텍의 팀원들은 여전히 멀웨어 분석에 여념이 없는 상태다. 하지만 아직도 훅 불면 날아가는 멀웨어 하나만 가지고 데이터를 어떻게 전송했는지는 밝혀내지 못하고 있다.

심지어 업계에서는 ‘그런 식으로 신출귀몰 작동하는 멀웨어라면 단지 정보만 새나갔으리라는 보장도 없다’는 목소리도 들리고 있다. 베이 다이내믹스(Bay Dynamics)의 CMO인 과탐 아가르왈(Guatam Aggarwal)은 “카스퍼스키의 시큐어 OS와 안티APT 제품에 있는 취약점을 노렸을 가능성이 제일 크다”고 주장한다. “메모리 안에서만 작동한다는 점, 그리고 디스크 파일은 단 한 개도 만들거나 고치지 않았다는 점, 시스템 환경설정도 변함없었다는 점을 볼 때, 카스퍼스키가 이 멀웨어의 존재를 알아차렸다는 것만으로도 대단한 것이라고 봅니다. 그보다 더한 정보를 파악한다는 건 불가능에 가깝습니다.”

취약점 정보를 훔치는 건 쉬웠을까? “공격자 입장에서 취약점의 세세한 내용을 전부 파악할 필요는 없습니다. 있는가 없는가만 정확하게 파악을 해도 침투와 공격, 익스플로잇 전략을 크게 바꿀 수 있습니다.”

그렇지만 왜 하필 카스퍼스키였을까? 아마도 2011년 최초 버전의 두쿠 공격을 앞장서 수사한 게 카스퍼스키여서일 것이라는 추측이 지배적이다. “두쿠 배후에 있는 공격자들이 카스퍼스키 랩을 시험대 혹은 추후 있을 공격의 거점으로 삼은 듯 합니다. 그러면서 동시에 자신들의 능력을 과시하기도 한 것이고요. 전 그래서 이번 공격이 그냥 시작에 불과한 것 같다는 불길한 느낌이 자꾸 듭니다.”

4. ICS/SCADA와 관련이 있는 듯한 모듈의 정체는 무엇인가?

카스퍼스키 랩의 세계 리서치 및 분석 팀의 책임자인 코스틴 라이우(Costin Raiu)는 얼마 전 개인 트위터를 통해 두쿠 2.0의 모듈 중 하나를 화면으로 출력한 스크린샷 이미지를 공개했다. “이 파일이름과 경로를 어디서 본적이 있다면 우리에게 알려달라”는 트윗과 함께 말이다.

하지만 아직 아무도 제대로 된 정보를 카스퍼스키에 제보한 것 같지는 않다. 다만 여기에 등장하는 파일의 이름 중에 HMI가 있어 산업통제 시스템이나 SCADA와 관련이 있는 것으로 추측하고 있다. HMI는 인간 기기 인터페이스(human-machine interface)의 준말로 생산산업 내에서는 널리 쓰이는 표현 중 하나다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>