해킹팀 퇴직자 6명, RCS 소스코드 유포의 강력한 용의자

하지만 말 바꾸고 거짓말 일삼는 해킹팀 대표 주장에도 신뢰 적어

[보안뉴스 문가용] 알고 보니 지난 5월 해킹팀의 CEO인 데이비드 빈센제티가 경찰에 여섯 명의 이전 고용인들을 회사 자산인 소스코드를 훔쳤다며 고소한 것으로 알려졌다. 해킹팀 사건이 세상에 드러난 지금, 밀라노의 경찰들은 이 6인에 대한 수사를 새롭게 시작했다고 한다. 물론 두 사건은 이제 하나로 묶여있다.

두 사건의 핵심이 된 해킹팀의 주력 상품은 바로 리모트 컨트롤 시스템(Remote Control System)으로 일명 RCS로 알려진 스파이웨어다. 버전마다 이름이 붙는데 가장 최신 버전은 갈릴레오(Galileo)이며, 이 상품을 분석한 멀웨어바이츠(Malwarebytes)라는 곳에선 “원격 접근 트로이목마(Remote Access Trojan, RAT)와 다를 게 하나도 없다”고 평한 바 있다. “물론 바이오스 룻킷 등 추가 기능이 더 풍부하긴 하지만.”

빈센제티는 지난 주 인터뷰를 통해 RCS 코드의 일부만이 유출된 것이라고 거듭 확언했다. 그럼에도 센스포스트(SensePost)라는 보안업체의 연구원들은 이미 목요일 RCS를 쌩쌩 돌릴 수 있는 상태로 구축했다고 발표했다.

해킹팀으로부터 흘러나온 이메일도 충격을 던져줬다. 악성코드를 와이파이 네트워크에 주입시키는 하드웨어까지 만들어 냈다는 사실이 드러났기 때문이다. 이를 해킹팀은 전략적 네트워크 주입기(Tactical Network Injector, TNI)라고 부르는 것으로 알려졌으며 요즘 한창 뜨거운 이슈인 드론과 결합돼 중간자 공격이나 익스플로잇을 실행하기 위한 악성 접근점으로 활용될 소지가 다분하게 보였다. 게다가 그 이메일을 해킹팀과 주고받은 곳이 인사이투(Insitu)라고 해서 그 유명한 보잉의 자회사였기에 파장이 적지 않았다.

RCS 소스코드에 더해 여러 치명적인 취약점이 드러나기도 했다. 취약점을 어떻게 익스플로잇 하면 되는지 친절한 설명과 익스플로잇 킷까지 곁들여서. 덕분에 어도비는 누구보다 바쁘고 시급한 두 주를 보내야 했다.

파이어아이는 이때 공개된 플래시의 취약점 중 하나인 CVE-2015-5122를 통해 일본의 웹 사이트 두 개가 공격받은 사실을 밝혀냈다. 게다가 이 웹 사이트를 통해 추가 공격이 이어졌다는 정황도 함께 드러났다. 이 두 사이트는 International Hospitality와 Conference Service Association 사이트로 여기에 방문하면 Cosmetech, Inc. 사이트로 우회되었으며, 바로 여기에서 악성 swf 파일이 사용자들을 덮쳤다. 이 악성 SWF 파일을 받은 사용자는 자신도 모르게 SOGU라는 백도어에 감염된다.

연구원들은 이 SOGU 멀웨어가 신종일 가능성이 높다고 보는 입장이다. 이전 버전과는 다른 C&C 서버를 사용하고 있으며 엔코딩 기술 역시 다르기 때문이다. 누군가 기존 이런 대형 사건이 터질 줄 알고 미리 준비라도 해놓은 듯한 SOGU의 출현 타이밍이 업계를 더 긴장시키고 있다. 게다가 앞으로 또 해킹팀 사고의 여파가 어디에서 또 위험한 파도를 만들지 예측이 불가능해 긴장감은 당분간 지속될 것으로 보인다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>