| 사이버전 해커들도 오픈소스 대거 활용하기 시작 | 2017.04.13 |
오픈소스, 1단계 공격 효율성 높이고 위장에도 효과적
하지만 방어 난이도 낮아진다는 단점도 있어...양날의 검 [보안뉴스 문가용 기자] 국가의 후원을 받고 활동하는 해킹 팀들이 오픈소스를 점점 더 많이 사용하고 있다는 소식이다. 이들의 오픈소스 활용이 왜 재미있냐면, 여태까지 국가를 등에 업은 공격자들이라고 하면 돈이 충분해 굳이 무료 툴을 사용할 필요가 없었고, 오픈소스가 보안의 측면에서 그다지 안정적이지 않았기 때문이다.  그렇다면 이러한 해커들에게 공급되는 정부의 지원이 줄어든 것일까? 아니면 오픈소스가 굉장히 안정적으로 변모한 것일까? 아쉽지만 아니다. 그러한 오픈소스들이 보안 업체나 침투 테스터들이 주로 사용하는 것이기 때문이다. 최초 침투가 일어나는 공격 초기 단계에 이런 ‘좋은 사람들’과 같은 툴을 사용하면 1) 공격 효율이 매우 높아지고, 2) 위장이 쉬워진다는 것이다. 카스퍼스키의 글로벌 연구 책임자인 커트 봄가트너(Kurt Baumgartner)는 “사이버전 수행자들의 오픈소스 활용이 급증하는 현상을 1년 동안 지켜봤다”면서 “메타스플로잇 미터프리터(Metasploit Meterpreter), 코발트 스트라이크(Cobalt Strike), 비프(BeEF, Browser Exploitation Framework), 미미캣츠(Mimikatz), 퓨피(Pupy), 유니콘(Unicorn) 등이 인기가 많다”고 설명한다. “APT 공격자들은 현재 그 어느 때보다도 많은 오픈소스를 활용하고 있습니다. 심지어 자기들이 직접 만든 툴셋 대신 사용하는 경우도 있더군요.” 이란의 해킹 그룹이라고 알려진 뉴스캐스터(Newscaster) - 뉴스비프(NewsBeef)나 차밍키튼(Charming Kitten)이라고도 알려져 있다 – 가 특히 지난 1년 동안 오픈소스 사용률을 높였다고 한다. “브라우저의 보안 구멍을 익스플로잇 할 때는 비프(BeEF)를 주로 사용하고, 파웨쉘 공격을 하고 싶을 땐 유니콘을, 원격 관리 툴을 심고 싶을 땐 퓨피를 사용합니다. 이는 사이버전 팀들의 운영 기조가 크게 바뀌고 있음을 보여줍니다.” 또한 뉴스캐스터 그룹은 사이버전 전문 단체들 중 후원 규모가 가장 미비한 것으로 알려져 있는데, 그래서 이들이 특히나 많은 오픈소스 툴을 사용하고 있는 것이기도 하다. 하지만 정부 후원도 든든하고 이 계통에서 나름 ‘선배급’으로 꼽히는 단체인 소파시(Sofacy) - 팬시베어(Fancy Bear), APT28, 폰스톰(Pawn Storm) 등의 이름을 가지고 있다 – 역시 비프 툴을 활발히 사용하는 중이다. 봄가트너는 “소파시의 경우 웹사이트를 겨냥한 워터링홀 공격을 할 때 비프를 주로 하더라”라며 “2016년 7월에 전 소비에트 연방국 소속이었던 국가를 대상으로 대규모 공격을 실행할 때도 오픈소스 툴을 사용했다”고 밝혔다. 보안 전문업체인 크라우드스트라이크(CrowdStrike)와 파이어아이(FireEye) 역시 비슷한 현상을 추적 중에 있었다고 한다. “오픈소스는 사이버전 공격자들 사이에서 꽤나 흔한 것으로 자리 잡았습니다.” 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)의 설명이다. “코지 베어(Cozy Bear)의 경우 지난 2주 간 활동이 급증했는데, 퓨피를 대단히 많이 쓰고 있더군요. 이란의 로켓 키튼(Rocket Kitten)의 경우는 침투 테스트 전문 유료 툴인 코어임팩트(CORE Impact)를 주로 사용하기도 합니다.” 메이어스는 “위장을 목적으로 오픈소스를 활용하는 측면도 있지만, 최초 공격 단계에서는 오픈소스의 기능 자체가 훌륭하기 때문에 사용한다”고 설명하며, “특히 본격적인 공격 전 정찰이나 탐색 활동을 벌이는 데에 있어서 오픈소스의 효율성이 뛰어나다”고 말한다. “보통 사이버전 단체들이 직접 제작한 멀웨어들은 데이터를 실제적으로 빼내거나 장기적인 모니터링 활동을 하는 기능을 갖추고 있습니다. 또한 오픈소스를 활용하여 내부 훈련을 하는 경우도 있습니다.” 파이어아이의 분석 전문가인 존 헐트퀴스트(John Hultquist)는 “이란의 사이버전 그룹인 뉴스캐스터는 메타스플로잇을 많이 쓰지만, 다른 사이버전 단체들 사이에서는 침투 테스트 시 레드팀의 행동을 흉내 내는 에뮬레이션 툴인 코발트 스트라이크가 높은 선호도를 보이고 있다”며 “이란 외에 중국과 팔레스타인의 국가 후원 해커들 역시 오픈소스를 꽤나 광범위하게 활용하고 있다”고 설명한다. “APT 그룹이라고 해서 전부 툴까지 직접 만들어 사용한 건 아닙니다.” 그러면서 “중국의 악명 높은 해킹 단체 중 일부는 포이즌 아이비(Poison Ivy)나 고스트랫(Ghost Rat) 등을 빈번하게 사용해왔고, 이러한 오픈소스가 발각이 되면 약간의 수정을 통해 잠시 모습을 감추는 등의 전략을 사용해왔다”고 설명을 이어간 존은 “오픈소스를 활용함으로써 개발 시간을 크게 아낄 수 있고, 그걸 통해 보다 더 실질적이고 효과적인 사이버전 작전을 수행할 수 있게 된다”고 말한다. “게다가 위장 효과가 매우 탁월합니다.” 오픈소스 외에 이미 시장에 나와 있는 정상 제품을 구매한 후 약간의 ‘조작’을 통해 ‘자기 툴’로 만드는 사이버전 단체들도 꽤나 된다. “미미캣츠의 커스터마이징이 지난 몇 년 간은 자주 눈에 띄었습니다. 특히 중국의 APT10이요.” 이렇게 사이버전 해커들 손에 변경된 미미캣츠는 크리덴셜 정보를 윈도우로부터 빼내는 데 주로 사용된다. 하지만 얻는 게 있으면 잃는 게 있는 법이다. 오픈소스에는 보안 취약점이라는 위험성이 항상 도사리고 있다. 예를 들어 비프 툴의 경우, 로깅 기능이 너무 상세해 공격자가 의도치 않게 자신에 대한 정보를 노출시킬 수 있다. “너무 장황해요. 또한 위치정보나 IP 주소를 추적하기도 합니다. 공격자 역시 매우 조심스러워야 한다는 겁니다. 게다가 어떤 정보가 얼마나 로깅되는지 파악하고 있다는 것도 어렵고요. 양날의 검이 딱 맞는 표현입니다.” 오픈소스이다보니, 방어자 입장에서 막아내는 것도 수월해진다는 점도 있다. “공격자들이 직접 개발한 툴을 사용하면, 당연히 대처가 더 어렵죠. 세상에 단 하나뿐인 툴이니까요. 하지만 오픈소스는 누구나 사용할 수 있는 것이고 여러 가지 연구가 진행되는 소스들입니다. 방어자가 툴의 정체만 알면 방어가 상당히 쉬워집니다. 한 물 간 것으로 알려져 있는 시그니처 기반의 방어 툴들도 쓸모 있게 변하죠.” 헐트퀴스트의 설명이다. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
