플래시의 존망에 드리운 어두운 그림자, US-CERT까지 “사용 자제”

사용자 매뉴얼까지 곁들인 고급 해킹툴 세상 곳곳에 퍼져

[보안뉴스 문가용] 해킹팀 파일이 400GB나 풀리면서 해커와 보안전문가들 사이에서 보물찾기 시합이 일어났다. 취약점 누가 먼저 찾나 경쟁이 벌어진 것이다. 어도비와 마이크로소프트는 그나마 현상유지는 하고 있다. 그러나 이런 건 모두 ‘단기 위기상황’에 대한 해결책일 뿐이다. 장기적인 문제에 대해서 아무도 언급하고 있지 않은 듯 하다.

1. 플래시의 죽음?

아마 이번 사건으로 가장 많이 언급된 제품이 있다면 바로 어도비의 플래시 플레이어였을 것이다. 지난 주에는 CVE-2015-5119 취약점을 패치한 데 이어 이번 주에만 CVE-2015-5122와 CVE-2015-5123을 패치했다. 셋 다 원격 코드 실행을 가능하게 해주는 취약점이었으며 특히 5122 취약점은 공개 수 시간 만에 앵글러 익스플로잇 킷에서 악용되기도 했다.

어도비 플래시가 여러 치명적인 취약점에 시달린 건 이번 뿐이 아니다. 사실 업계에서는 플래시의 사용을 아예 중단해야 하는 것 아니냐는 목소리가 나올 정도로 심각한 문제가 빈번하게 등장했다. 하지만 인기 있는 제품이라 일부의 불만이라고만 치부되었고, 실제 아무도 플래시 플레이어의 중단을 행동으로 옮기지는 못했다.

그러나 이번 사건으로 이런 불만을 직접 행동으로 옮긴 이가 있었으니 바로 모질라다. 모질라는 이번 주초, 파이어폭스의 디폴트 설정을 바꿔 플래시가 실행 안 되게 했다. 패치가 나올 때까지 플래시와 거리를 두겠다는 거였다. 그리고 업데이트가 발표되고 나서야 이 설정을 원상복귀시켰다.

게다가 US-CERT는 오늘 발표한 취약점 관련 권고문에 ‘플래시 콘텐츠 사용을 제한하라’는 문구를 삽입했다. 업데이트로 불충분하다면 안전을 위한 다른 방법을 모색하라는 것이었고, 그중 하나가 바로 플래시 사용의 자제였던 것이다. 페이스북의 보안담당자인 알렉스 스타모스(Alex Stamos)는 트위터를 통해 “어도비가 슬슬 플래시의 서비스 종료 시점을 발표할 때가 된 듯하다”고까지 했다.

2. 고급 해킹툴의 전파

위 세 가지 취약점 중 CVE-2015-5119은 결국 APT3이라는 APT 그룹의 손에 들어가 실제 미국 정부기관을 공격하는 데에 활용되었다. 취약점만 예기치 않게 공개되어도 정부기관에 공격이 들어가는데, 이번 해킹 사건으로 드러난 건 취약점 외에 RCS라는 고급 감시 툴도 있다. 멀웨어바이츠(Malwarebytes)의 아담 맥네일(Adam McNeil)은 RCS를 “또 다른 스파이웨어 혹은 제우스나 다름없다”고 분석했다. 즉, 취약점 외에 실제로 완성된 툴까지도 세상에 풀린 것이다.

“RCS는 감시 기능을 풍부하게 가지고 있으며 개인 컴퓨터와 휴대폰에 담긴 정보를 감시하고 수집할 수 있습니다. 뿐만 아니라 시스템에 침투해 코드를 실행시키고 파일을 파괴하며 애플리케이션과 통신까지도 관찰하는 게 가능합니다.” 이번 사건으로 RCS를 면밀하게 분석한 멀웨어바이츠의 최종 보고 내용 중 일부다.

하지만 해킹팀의 CEO인 데이비드 빈센제티(David Vincenzetti)는 사건 초기에 “테러리스트들까지 이 툴을 손에 넣었다면 이는 작은 문제가 아니다”라고 했다가 최근엔 “이번에 유출된 소스코드는 RCS의 일부에 불과하다”며 말을 바꾼 바 있다.

하지만 RCS는 윈도우, OS X, 리눅스, 안드로이드, 블랙베리, iOS, 심비안, 모바일 윈도우 환경 모두에서 작동하며 키로거, 스크린샷 캡처 등 RAT 툴의 전형적인 기능들을 전부 가지고 있다. 또한 분석방지 기능도 가지고 있어 발각도 잘 되지 않는다. 게다가 트렌드 마이크로(Trend Micro)에 의하면 UEFI 바이오스 룻킷도 장착하고 있어서 하드 드라이브 바꾼다고 해결되지도 않는다고 한다. 기능도 많고, 발견도 힘들고, 지우기는 더 힘든 툴인 것이다.

암시장에 이런 기능들을 갖춘 멀웨어가 돌아다닌다면 굉장히 높은 값을 매길 것이라는 게 전문가들의 일관된 목소리다. 심지어 사용자 입장에서는 사용이 간편하기까지 하다. 이번에 유출된 파일들엔 아주 친절한 사용자 매뉴얼도 포함되었기 때문에 누구든 마음만 먹으면 이 툴을 구해 공부하고 익힐 수 있다는 뜻. 이 파장은 엄청나다.

3. 비트코인 거래도 드러나

RCS 9.2 업그레이드 버전에는 머니 모듈(Money Module)이라는 것도 있다. 비트코인처럼 암호화된 금융거래를 트래킹할 수 있는 기능이다. 이번에 유출된 이메일에 의하면 트래킹뿐 아니라 비트코인을 사용한 사람들의 연락처 목록, 로컬 계정, 금액, 거래 내역 등의 정보까지도 추출하는 게 가능하다고 한다. 이는 2014년 1월부터 생긴 기능으로, 비트코인이 익명 거래에 안전하다는 말도 무색해졌다.

4. 정부의 감시와 검열 문제 여파

사람마다 가장 큰 문제가 뭔가 판단하는 기준이 다를 거라고 보지만, 대부분은 국가와 국민들 간 신뢰에 금이 갔다는 사실을 꼽는 데에 동의할 것이다. 이번 사건으로 드러난 바, 정부가 누군가를 감시하기 위해 해킹팀과 몰래 거래를 하고 있었다는 사실은 해당 국가 국민들을 경악케 했다. 이에 연루된 국가들은 대부분 침묵으로 일관하고 있거나 적국 혹은 적대적인 세력을 감시하기 위한 것이라고 변명했지만 역사적으로 국민들의 인권을 무시해왔기 때문에 이 변명이 쉽게 통하지 않는 듯 하다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>