[보안뉴스 주소형] 법조계와 보안팀이 공조하여 원격 접근 툴인 RAT 활동 제어에 나섰다. 인터넷 사용범위가 넓어짐에 따라 이를 더 이상 두고볼 수 없어졌기 때문이다. 글로벌 인터넷 기술기업인 레코디드 퓨처(Recorded Future)가 최근 발행한 보고서에 따르면 다크코밋(DarkComet), 포이즌아이비(Poison Ivy), 하벡스(Havex), 에얼리언스파이(AlienSpy) 등과 같은 원격 접근 트로이목마가 공격을 실행하기도 전에 이들을 찾아내어 차단하는 기술이 나왔다.

RAT는 사진, 음성파일, 영상파일, 웹캠에 의한 비디오 등을 포함한 다양한 데이터에 접근이 가능해야 하기 때문에 상당히 방대한 대역폭을 사용할 수 있어야 한다. 따라서 RAT 관리자는 데이터 패킷이 한 지점에서 다른 지점으로 이동하는 데 소요되는 시간을 단축시키는 것이 관건이라고 레코디드 퓨처 보고서를 만든 레비 건더트(Levi Gundert)가 말했다. 그들이 해당 소요시간을 줄일수록 프록시를 통한 작동도 줄어들게 되는데 이는 다른 종류의 멀웨어와 비교했을 때 RAT의 불균형적인 수치를 야기시킨다.

건더트는 이러한 RAT를 빠르고 쉽게 발견할 수 있는 방법을 제시했다. 이로 인해 향후 RAT 공격으로 인해 발생될 수 있는 블랙메일이나 정치적 반체제인사들에 의한 범죄를 사전에 막을 수 있다고 주장했다.

“해당 기술을 실제로 사용해보니 영국 옥스퍼드에 살고 있는 다니엘 제임스 브라운(Daniel James Brown)이 어디에 살고 있으며 혈액형에 대한 정보는 물론 그가 키우고 있는 개 이름까지도 굉장히 쉽게 알아낼 수 있었다. 그 외에 다른 조직들 역시 사용자명 또는 위치 하나만을 가지고도 필요한 정보들을 모두 알아낼 수 있다.”

쇼단(Shodan)은 평균적으로 하루에 400~600개의 각 RAT 클라이언트를 잡아낼 수 있다. 최근 데이터에 따르면 쇼단은 잘 알려진 다크코밋은 물론 비교적 드러나지 않았던 익스트림RAT(XtremeRAT), 엔제이RAT(njRAT), 넷버스(NetBus), 포이즌아이비(Poison Ivy), 블랙쉐이드(BlackShades)까지 모두 통제가 가능하다.

RAT는 국가 단위의 대규모 조직에 의해 만들어지기도 하고 개인에 의해 만들어지기도 한다. 하지만 이와는 관계없이 RAT로 인한 위협은 계속해서 높아지고 있다. RAT는 처음 만들어낸 제작자의 의도와 달리 쉽게 진화될 수 있기 때문이다. 따라서 재사용률도 높은 편이다.

“RAT의 경우 어느 정도 까지는 모두 오프소스로 되어 있어 그들의 수준은 모두 비슷하다.”

물론 엔제이RAT 및 익스트림RAT와 같이 중동에서만 사용되는 특별한 RAT들도 있지만 대부분의 RAT는 주로 여자들을 스파잉 하는 용도로 사용되고 있다고 건더트는 설명했다.

한편 한번 만들어진 RAT는 생명력도 길다. 2014년 5월경, 블랙세이드라는 거대 RAT를 만드는 데 기여한 90명의 사람들을 검거했음에도 불구하고 블랙세이드는 여전히 활동 중이다. 건더트는 이를 관리하는 2명의 관리자가 터키에 거주하고 있다는 사실을 알고 있다고 말했다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>