셰도우 브로커스, NSA에서 훔친 해킹툴 판매
기대보다 부진한 판매 성적에 다시 정체를 감추겠다 선언

보안뉴스 홍나경 기자] 셰도우 브로커스(Shadow Brokers)가 윈도우 시스템을 집중 공격할 수 있는 해킹 툴을 발매한 지 1주일도 채 지나지 않아 판매를 접었다. 그리고 판매를 중단하기 전인 지난 목요일, 윈도우 해킹 도구 58개를 무료로 공개했다. 셰도우 브로커스가 판매 시도를 했던 윈도우 공격 도구는 NSA로부터 훔친 것으로 알려졌다.

셰도우 브로커스는 이제 다시 정체를 감추겠다고 말하며 그 이유를 “비트코인 수익을 위해서 활동을 했던 것이었으나 기대했던 만큼 돈을 벌지 못 했기 때문”이라고 트위터를 통해 밝혔다. 하지만 이렇게 판매를 중단 하면서도 “8억을 제공하는 사람에게 리눅스와 윈도우의 취약점 자료를 넘기고 정체를 밝히겠다”고 했다.

이들이 올린 게시글은 의도적으로 자신들의 모국어가 영어가 아님을 보여주는 듯 했다. 서투른 영어로 “여러 가설들이 많지만, 셰도우 브로커스는 금전적인 목적을 위해 결성됐고, 무료 데이터 덤핑과 일부 정치적 주장들은 그저 마켓팅 용도였을 뿐”이라고 설명하기도 했다.

이들의 메시지에는 지난 해 경매로 처분하려고 했던 공격 도구들을 팔고 자신들의 존재를 부정하는 이들의 코를 납작 눌러주려고 했던 계획들이 생각만큼 성공하지 못해 실망했다는 내용도 포함됐다. 또한, 그들은 계속해서 존재를 노출하는 것은 위험하기 때문에 기존 계정들을 지우고 다시 암암리에 활동할 것이라고 밝혔다.

셰도우 브로커스는 NSA와 모종의 관계에 있는 것으로 알려진 사이버 첩보 팀, 이퀘이전 그룹(Equation Group)으로부터 훔친 것으로 추정되는 여러 개의 공격 도구들과 소프트웨어들의 정보를 노출해 작년 8월에 큰 주목을 받았다. 자료가 얼마나 상세하면 당시 이퀘이전 그룹의 정보 유출이 내부자의 소행이라고 주장하는 이들도 많았다.

또한, 공개한 데이터에 따르면 셰도우 브로커스는 비슷한 종류의 공격 도구를 더 가지고 있다고 밝혔고, 이 도구들은 NSA가 다른 나라 국가의 시스템에 몰래 들어가 스파잉 행위를 하거나 데이터를 가로챌 때 사용했던 것과 비슷한 종류라고 했다. 지난 여름 셰도우 브로커스는 이것을 수천 억 원에 경매로 올렸으나 처분하는 데에는 실패했다.

그때부터 셰도우 브로커스는 이 해킹 도구들을 사이버 암시장에서 조금씩 팔려는 시도를 해왔다. 지난 11월에는 이퀘이전 그룹이 솔라리스 운영체제를 뚫어낼 때 활용했던 것이라고 보이는 툴과 데이터를 공개했다. 익스플로잇을 배포하고 원격 해킹 공격을 감행할 때 사용한 것으로 보이는 서버 및 IP 주소/도메인 목록도 포함돼 있었다.

그러다가 지난 주에는 솔라리스가 아니라 윈도우 OS를 공격할 수 있는 도구를 750비트코인에 판매하겠다고 했다. 덴마크의 보안업체인 헤임달 시큐리티(Heimdal Security)의 보안 담당자 안드라 자하리아(Andra Zaharia)는 셰도우 브로커스가 판매를 접는 이유를 2가지 들었다. “셰도우 브로커스의 이번 행보는 다른 꿍꿍이를 위한 연막작전일 수도 있습니다. 또 다른 이유로는 이전에 훔친 도구들의 저조한 수익 때문에 자신들이 세운 목표금액 달성을 위해서 관심을 사려 벌인 짓이라고 보고 있습니다.”

하지만 자하리아는 정확한 이들의 속셈은 알 수 없다고 덧붙였다. 또한 58가지의 윈도우 해킹 도구들이 무료로 공개됐고 이 모두 다 카스퍼스키의 안티바이러스로 탐지가 가능한 것들이라고 한다. “모든 도구들을 테스트 해본 건 아니지만 대부분이 카스퍼스키의 안티바이러스로 탐지가 가능 할 듯 합니다.” 헤임달 시큐리트는 셰도우 브로커스가 공개한 이 해킹 도구들이 판매를 하려고 했던 제품들과 같은 것인지는 확인을 하지 못한 상태라고 덧붙였다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>