정치 스캔들 관련 중요한 증언하기 전날 사망한 검찰관

핸드폰에서는 적어도 6개월 동안 멀웨어에 감염된 흔적 나와

[보안뉴스 문가용] 스파이 소설에나 나올 법한 일이 실제로 발생했다. 수개월 전 아르헨티나의 검찰관 한 명이 자신의 집에서 죽은 채 발견된 것이다. 헌데 이 사망과 관련된 여러 가지 정황이 매우 수상하다. 일단 죽은 날이 얄궂다. 바로 다음 날이 그가 재판정에 증인으로 서 십 수 년 전에 일어났던 폭탄 테러 사건과 아르헨티나 대통령과의 관계에 대해 증언하는 날이었고, 바로 전날엔 언론 인터뷰를 통해 ‘생명이 위태롭다는 걸 느끼고 있다’고 했었던 것이다.

그 사건이 있고서 수개월, 사이버 보안 전문가들은 조금 다른 측면에서 사건을 파헤친 결과물들을 발표했다. 살해당한 검찰관, 알베르토 니스만(Alberto Nisman)의 모바일 전화기가 원격 접근 툴(RAT), 그것도 독특한 버전의 에얼리언스파이(AlienSpy)에 의해 완벽히 감염되었다는 사실이 바로 그것이다. 해당 전화기를 조사한 건 보안 전문 회사인 퍼스트 룩 미디어(First Look Media)의 모르간 마키스보아(Morgan Marquis-Boire)라는 유명 해커로 그는 지난 블랙햇 기간 동안 “디지털 공격에 있어 주변의 환경 요소가 얼마나 중요한가를 알 수 있었다”고 했다.

이에 “디지털 환경에서 일어나는 공격들은 결국 우리가 살아가는 실제 생활 속 여러 가지 사건들의 일부일 뿐입니다”라고 프루프포인트(Proofpoint)의 투피크 하크(Thoufique Haq) 전문가도 동의했다. 하크의 분석에 의하면 이 스파이웨어가 전화기에 최초 침투한 시점은 적어도 사망 사건으로부터 6개월 전이다. “아직 이 스파이웨어와 니스만의 사망이 직접 연결되어 있다는 걸 증명하지는 못했습니다. 하지만 적어도 에얼리언웨어가 가지고 있던 방대한 기능은 알아낼 수 있었습니다.”

이 같은 사실이 드러난 건 사실 이미 지난 4월. 그 동안 에얼리언스파이에 대한 분석도 끊임없이 이루어졌고, 그 결과 프루투스(Frutus)나 애드윈드(Adwind)와 같은 기존 RAT보다 훨씬 더 많이 발전한 멀웨어였음이 밝혀졌다. 에얼리언스파이가 가지는 차별점은 강력한 샌드박스 및 안티멀웨어 우회 기능으로 전문가들에 의하면 에얼리언스파이는 시타델(Citadel) 은행 트로이목마를 퍼트리는 데에도 사용되었으며 표적이 된 기업이나 네트워크 안에 오랫동안 들키지 않고 머물러 있는 게 특징이다.

마키스보아는 우연히 니스만의 전화기에 대한 자료를 접했는데, 이때 그의 눈에 한 JAR 파일의 이름이 들어왔다. 페이로드인 것처럼 보였다. 그래서 마키스보아는 바이러스토탈(www.virustotal.com)에서 검색을 했다. 검색결과로 나온 인스턴스는 딱 한 개였다. 프루프포인트의 하크가 이게 과연 무슨 의미인지 풀어 설명했다.

“보통 안드로이드 환경에서의 페이로드는 APK파일입니다. 혹은 ARM 프로세서를 위해 컴파일링이 되어있거나요. 즉, JAR 파일이 충분히 눈에 띌 만한 것이라는 소리입니다. 하지만 JAR 페이로드를 안드로이드 운영체제에 탑재시키려면 자바 에뮬레이션 엔진을 설치해야 하는데, 이는 간단한 일이 아닙니다. 즉 누군가 표적의 데스크탑을 노려서 JAR 페이로드를 배포했는데 그게 우연히 모바일 환경으로 유입된 것으로 보는 편이 타당합니다. 아마 이메일을 모바일로 확인했거나 광고를 찍어봤거나 악성 링크를 따라갔거나 하는 등의 일이 있었을 겁니다.” 에얼리언스파이가 시타델 멀웨어와 함께 사용되었다는 전적까지 결합했을 때 니스만이 사이버 감시의 표적이 되었다 혹은 아니다를 쉽게 결론내리기 힘들다는 것.

하지만 사망한 니스만의 전화기에서 발견된 에얼리언스파이는 기존 다른 에얼리언스파이와 비교해봐도 분명 다른 점이 있다. 하크는 “분석 혹은 탐지를 더 어렵게 하려는 장치가 한 겹 더 깔려 있었습니다. 이는 여태까지 본 에얼리언스파이에는 없던 것이었죠. 또 기능도 훨씬 많았고 플러그인을 통해서 얼마든지 더 확장될 수도 있었습니다. 당연히 감염시킨 시스템에서도 기능 확장하는 게 가능하고요. 하지만 이런 분석을 아무리 해도 ‘과연 누가 니스만의 핸드폰에 이걸 심었는가’하는 의문은 해결될 수 없었습니다. 다만 경제계나 정치계에의 어두운 측면에도 RAT가 얼마든지 사용될 수 있다는 게 제시되긴 했죠”라고 설명한다.

에얼리언스파이는 어떤 기능을 주로 가지고 있을까? “여러 가지라고 했지만 기본 뼈대가 되는 건 피해자를 감시하고 정보를 수집하는 겁니다. 정적의 핸드폰에 심는다면 굉장한 정보들이 손에 들어오겠죠. 니스만 사건을 명쾌하게 결론짓기는 어렵습니다. 하지만 이제 실제 세상과 사이버 세상이 ‘범죄’라는 매개로 인해 크로스오버를 이루고 있다는 건 분명해졌습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>