| 셰도우 브로커스가 공개한 툴, 중국과 러시아도 관심 | 2017.04.26 |
패치가 먼저냐 익스플로잇이 먼저냐... 시간 싸움
툴 수준 높아 일반 수준으로는 손대기 힘들어...최고 집단 두뇌 필요 [보안뉴스 문가용 기자] 중국과 러시아의 사이버 보안 커뮤니티도 셰도우 브로커스(Shadow Brokers)가 이번 달 공개한 데이터를 분석하기 시작했다고 보안 전문업체인 리코디드 퓨처(Recorded Future)가 밝혔다.  ⓒ iclickart 셰도우 브로커스는 이번 달 초 NSA가 소유한 해킹 툴이라고 주장하며 대량의 데이터를 공개했다. 이를 확보한 여러 국가의 보안 전문가들과 사이버 범죄자들은 데이터를 면밀히 분석해 여태까지 공개되지 않은 취약점과 익스플로잇들을 발견했으며, 지금도 이러한 발굴 작업은 계속 진행되고 있는 실정이다. 리코디드 퓨처의 부회장인 레바이 건더트(Levi Gundert)는 “사이버 범죄자들이 아주 신이 났다”며 “이들에게는 새로운 무기와 공격 통로가 공짜로 대거 늘어난 것이기 때문”이라고 경고했다. 보안 커뮤니티와 범죄 커뮤니티 모두에게 똑같이 공개된 지금, 패치와 익스플로잇의 시간싸움인데 사용자들의 패치 적용 속도를 생각했을 때 범죄자들의 우세가 점쳐지기도 한다. 이런 상황에서 리코디드 퓨처의 조사 결과는 ‘국제사회에서 사이버전을 주로 수행하는 자들 역시 NSA의 툴에 관심을 보이고 있다’는 맥락에서 중요하다. 게다가 중국과 러시아라면 사이버 범죄자들 역시 활발히 활동하는 나라이기도 하다. 즉, 사이버전과 사이버 범죄 인구가 골고루 많은 곳이라 전 세계적으로 그러한 양면의 활동이 급격히 늘어날 것으로 예상된다. 셰도우 브로커스가 처음 자료를 공개했다는 사실이 전파되었을 때 전문가들은 먼저 주요 트렌드나 유행어 같은 것을 중심으로 다크웹 포럼의 활동을 주시했다. 그러면서 범죄자들은 익스플로잇 프레임워크, 중소기업을 노리는 멀웨어, 권한 상승 툴에 특히 관심이 많다는 것을 알아냈다. 그중 중국의 사이버 범죄자들은 독특한 멀웨어 트리거(멀웨어의 최초 설치를 유발하는 전략이나 방법)에 관심이 많은 것으로 나타났다. 또한 이번에 공개된 취약점들이 아직도 패치되지 않았을 거라고 거의 확신하고 있다는 사실도 드러났으며, 그 이면에 중국 APT 공격자들의 ‘우리가 더 빨리 공격할 수 있어’라는 자신감이 보이기도 했다. 이러한 사실을 바탕으로 리코디드 퓨처는 “중국 공격자들이 곧 셰도우 브로커스가 공개한 방법을 적극 활용하고 나설 것”이라고 내다봤다. “즉, 이번 셰도우 브로커스 사건이 사실상 범죄자 혹은 범법자에게 어마어마한 기회를 제공한 것이나 다름없는 것입니다. 솔직히 크리스마스가 일찍 찾아왔다고 느껴질 것 같습니다.” 건더트의 설명이다. 당분간 보안 커뮤니티나 사이버 범죄 커뮤니티 모두에서 셰도우 브로커스와 관련된 이야기가 주를 이룰 것이라고 건더트는 예상한다. “공개된 툴을 어떻게 활용할 것인지, 어떻게 수익으로 전환시킬 것인지, 어떤 해킹 기술을 접목시킬 수 있을지 활발히 공유해 커뮤니티 전체 역량이 올라갈 것으로 보입니다. 결국 방어자와 공격자 중 누가 더 빨리 발전하느냐의 싸움이 되었다고 봅니다.” 하지만 어느 한 쪽의 완전 우세나 열세가 점쳐지지는 않는다고 그는 덧붙였다. “익스플로잇이나 툴의 수준이 높아 다크웹 대부분을 차지하는 ‘일반 범죄자’의 경우, 쉽게 손대기 힘들 겁니다. 보안 업계 쪽도 마찬가지고요. 두 커뮤니티의 ‘리더’들 중 누가 더 뛰어난가의 싸움이 될 것도 같습니다.” 기업들이라면 이번에 공개된 취약점들에 무엇이 있는지 파악하고, 패치 발표에 민감하게 귀를 기울이는 것이 최선이다. 또한 취약점 관리 프로그램을 제대로 마련해 도입시키는 것이 중요하다고 건더트는 제안했다. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
