시스코의 웹 기반 VPN 로그인 페이지 통해 인증정보 빼돌려
강력한 스텔스 기능에 분석 방지 기능 탑재한 모커 등장

[보안뉴스 문가용] 가상 사설망 혹은 VPN(Virtual Private Network)은 보안 감각을 무디게 만들 수 있으며, 실제로 이 VPN을 노리는 해커들의 공격이 두 건이나 발견돼 ‘VPN이 있으니 괜찮아’라며 안심하고 있던 업계에 또 다른 경종이 울렸다.


먼저 볼렉시티(Volexity)라는 보안업체에서 기업의 VPN을 공격하는 해커들을 발견했다. 이들은 자바스크립트 코드를 주입하는 방법을 통해 시스코 시스템의 웹 기반 VPN 로그인 페이지와 클라이언트리스 SSL VPN(Clientless SSL VPN)을 공격, 이를 사용하는 기업 내 사용자들의 인증정보를 조금씩 빼돌렸다. 일종의 APT 공격이었던 셈.

한편 엔실로(enSilo)는 RAT(원격 접근 트로이목마)를 활용하는 스파이 그룹을 발견했다. 이들은 사용자의 시스템을 감염시켜 로그인 정보를 알아낸 뒤, 그 정보를 가지고 합법적인 접속을 한 후 활동을 하는 것으로 밝혀졌다. 이때 사용된 멀웨어에는 모커(Moker)라는 이름이 붙었으며 백신, 샌드박스, 가상기기 기반의 툴들을 전부 무시하는 강력한 스텔스 기능을 가졌다. 마이크로소프트의 UAC 기능 역시 모커 앞에서는 무용지물이었다.

모커는 윈도우의 운영 시스템에 찰싹 붙어서 합법적인 OS 프로세스의 일부인 것처럼 위장하며, 공격자들이 로컬 단계에서 해당 시스템을 운영할 수 있도록 해준다. “공격자들이 진짜 VPN 인증 정보를 하나 훔쳐 그걸 가지고 로그인해서 합법적인 사용자인 것처럼 활동하는 겁니다. 이런 경우 무슨 일이 일어날까요? 원격에서 접속해 로컬에서 모커를 통제하는 게 가능해지죠.” 엔실로의 전문가인 요탐 고테스만(Yotam Gottesman)의 설명이다. “이런 시나리오가 완성되면 사실상 해커는 무한한 자유를 얻게 되죠. 키로깅, 스크린샷 저장, 웹 트래픽 모니터링 등 가능하지 않은 게 없습니다.”

시스코 VPN만 문제가 아니야
시스코 VPN 공격의 경우, 이미 해결된 것으로 알았던 인증 확인 취약점인 CVE-2014-3393이 다시 한 번 익스플로잇 되었다는 점이 중요하다. 이 취약점은 시스코에서 이미 지난 2월에 공개적으로 세상에 알린 적이 있는 오류였다. 또한 이 공격을 가능하게 해주는 메타스플로잇 모듈도 어렵지 않게 구할 수 있는 상태였다. “시스코는 업데이트를 이미 배포했어요. 즉 공격받을 리가 없는 부분이었던 것이죠. 즉 이 공격에 당했다는 건 업데이트를 제때 적용하지 않았다는 뜻밖에 되지 않습니다.”

이 시스코 제품 및 서비스에 대한 공격으로 가장 많은 피해를 받은 건 일본 정부기관과 일본의 하이테크 업체들이었다. “일본 조직들 중 상당수가 이번 시스코 웹 VPN 포털을 통해 피해를 받았습니다.” 고테스만의 설명이다.

게다가 이 문제가 다만 시스코 제품 및 서비스에만 국한되어 있느냐 하면 그렇지도 않다. 그게 더 심각한 문제라는 게 코테스만의 설명이다. “해커들은 공격을 위해 늘 새로운 방법을 찾아 헤맵니다. 이번에 시스코에 대한 공격이 발견돼서 시스코만 자꾸 언급이 되고 있는데 이 공격은 모든 VPN, 웹 서버, 관련 기기 등에 적용이 가능합니다. 해커는 VPN을 뚫고 관리자 수준의 권한을 뺏어낼 수 있다는 거죠.”

모커
엔실로는 고객의 시스템을 점검하다가 모커를 처음 발견하게 되었다. 아직 공격의 배후에 누가 있는지는 미스터리로 남아있는 상태. 다만 기술력과 자금력 모두 충분하다는 건 확실하다고 한다. 엔실로에 따르면 모커는 새로운 사용자 계정을 만들고 원격 데스크톱 프로토콜 채널을 열어 엔드포인트에 대한 원격 조정을 가능하게 한다. 그때부터는 스크린샷 저장, 키스토크 모니터링, 파일 탈취, 정상 코드를 악성 코드로 대체시키는 것 등의 행동이 가능해진다.

“모커를 꽤나 자세히 분석했습니다. 2단계 설치와 같은 방식으로 보안 툴들을 효과적으로 비껴가더군요. 그 과정에 익스플로잇 한 윈도우 취약점도 한두 가지가 아니고요. 또한 발각되고 나서도 스스로를 숨기는 기능 혹은 보안 전문가를 속이는 기능도 대단합니다. 이런 저런 멀웨어의 기능들을 봤을 때 이걸 제작한 사람들이 얼마나 뛰어난지, 또 얼마나 든든한 후원을 받고 있는지 분명히 알 수 있었습니다.”

모커가 관리자 권한을 가진 가짜 계정을 만들 때 사용자나 실제 관리자들은 이를 알 수가 없다. MS의 UAC 기능을 기만하기 때문이다. 처음 생성단계에서부터 이렇게 강력한 스텔스 기능을 가진 모커는 네트워크 내 상주해 활동하는 동안 철저히 스스로를 숨긴다. “이 가짜 계정은 모니터링도 되지 않습니다. 관리자가 시각적으로 이를 발견한다는 건 불가능해요. 로그인 화면에 나타나지 않기 때문입니다.”
모커에 대한 분석은 현재도 진행 중에 있다.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>