이미지 속에 악성코드 숨기고, SNS를 서버로 활용하고
애플 게이트웨이에서 취약점 나와...시에라에서 픽스될 것

[보안뉴스 문가용 기자] 보안 전문회사인 엔드게임(Endgame)의 연구원들이 최근 인기가 높아지고 있는 소셜 네트워크 서비스인 인스타그램의 이미지들을 활용해 멀웨어를 숨기는 스테가노그래피 실험을 진행했다. 게다가 이 연구를 하며 애플의 Mac OS X의 취약점을 발견하기도 했다. 엔드게임은 이 취약점에 대해 애플에 알렸고, 픽스는 시에라(Sierra) 버전에 반영될 예정이다.


스테가노그래피란 이미지나 텍스트 등 진짜 전달하려는 메시지를 평범해 보이는 다른 이미지 및 텍스트들 속에 숨겨두는 것을 말한다. 이는 아주 오래전부터 사용되어 온 기법으로 고대 어느 왕이 밀사의 두피에 문신으로 메시지를 새기고, 그 밀사의 머리카락이 자라서 메시지가 보이지 않을 때에 비로소 파견했다는 이야기도 있고, 신문기사의 첫 글자들만 연결하면 지령으로 변하는 장면은 여러 스파이물에 등장하기도 했다. 즉, 엔드게임은 자신들의 ‘은밀한 메시지’를 인스타그램 이미지에 숨기는 걸 연구한 것이다.

스테가노그래피는 이미 사이버 공격자들이 과거에 수차례 활용한 기법 중 하나로 C&C 관련 코드를 숨기는 데에 주로 사용했다. 게다가 최근에는 SNS 계정을 만들어 C&C 서버처럼 활용하는 수법도 등장한 바 있다. 봇마스터즈(Botmasters)라는 해킹 팀이 트위터 계정으로 C&C 인프라를 구축한 것이 좋은 예다.

이 두 트렌드를 합치면 어떤 위협이 될까, 엔드게임이 이번 실험을 통해 공략한 건 바로 그 점이다. 엔드게임은 이번 공격을 ‘인스테고그램(Instegogram)’이라고 이름 붙였으며, 인스타그램이라는 유명 소셜 네트워크 서비스에 코드가 숨겨진 이미지들을 업로드해서 C&C 서버처럼 활용하는 걸 구현해보았다고 한다. 엔드게임의 멀웨어 연구원인 아만다 루소(Amanda Rousseau)는 “이번 실험은 비교적 간단한 이미지 스테가노그래피 기법으로 소셜 미디어 사이트에 C&C 인프라를 구축하는 게 얼마나 어렵거나 얼마나 쉬운 일인지를 파악하기 위한 목적을 가지고 있다”고 설명했다.

먼저 엔드게임의 연구원들은 사용자가 이미지를 인스타그램에 업로드시킬 때 가동되는 재인코딩, 압축, 리사이징 등 여러 가지 프로세스들을 피해서 C&C 코드를 삽입하는 법을 먼저 연구했다. 그런 후 원격 접근 트로이목마를 활용해 특정 인스타그램 계정을 장악하고, 그 계정으로 악성 코드가 삽입된 이미지를 업로드시켰다. 이 원격 접근 트로이목마에는 이미지에 삽입된 악성코드를 이미지로부터 분리하는(디코딩) 기능도 있다. “즉, 원격에서 임의의 코드를 실행할 수 있게 되는 것이죠.”

해당 멀웨어의 코드는 Mac OS X 환경에서 작성되었고, 인증되지 않은 MacOS 앱의 형태를 갖추었다. 이 앱을 실행시키려면 애플의 게이트키퍼(Gatekeeper)를 우회해야만 했다. 이때 연구원들은 한 개의 게이트키퍼에서 오류를 발견했고, 이 오류를 악용해 인증을 받지 않은 MacOS 앱을 통과시킬 수 있었다. “아마 해당 게이트웨이를 통해 멀웨어가 전파되면, 사용자들은 속수무책으로 감염될 수밖에 없을 겁니다.”

여기에서 사용자란 10.11.5-6 버전의 OS X와 MS 엑셀 2016 15.24 버전의 사용자를 말하며, “오피스 매크로 기능을 활성화시킨 채로 인스타그램에 접속하면” 이런 공격에 노출된다고 한다. “이를 애플에 전달했고, 애플은 즉각적으로 응답했습니다. 시에라 버전에서는 반드시 이를 고치겠다고요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>