워너크라이로 유명세 탄 셰도우브로커스, “아직 더 가지고 있다”
월 정액제 시작되면 보안 전문업체들 딜레마 커질 것 예상

[보안뉴스 문가용 기자] 워너크라이라는 세계적인 랜섬웨어 덕분에 다시 한 번 자신의 이름을 각인시킨 셰도우브로커스(ShadowBrokers)가 “더 많은 익스플로잇을 공개하겠다”라고 발표했다. 셰도우브로커스가 지정한 공개 시점은 올해 6월로, 특이한 건 “월 정액제”로 회원들을 모은 후 제한적으로 세부적인 내용을 풀겠다는 것이다. 셰도우브로커스는 “구독자”들에게 웹 브라우저, 라우터, 핸드셋용 익스플로잇과 새로운 윈도우 10 익스플로잇을 매달 제공할 것이라고 약속하기도 했다.

그런데 이게 다가 아니다. 셰도우브로커스는 국제 은행 간 통신 협정인 SWIFT 서비스 제공자로부터 탈취한 네트워크 데이터와, 러시아, 중국, 이란, 북한 등 여러 국가들의 미사일 프로그램과 관련된 데이터까지도 넘기겠다고 약속했다. 데이터를 어떻게 활용하든 그것은 구독자의 자유이며 셰도우브로커스는 절대 관여하지 않겠다고도 했다.

보안 전문업체 기가몬(Gigamon)의 글로벌 보안 전략가인 케빈 마지(Kevin Magee)는 “워너크라이 사태 덕분에 셰도우브로커스가 가진 게 진품이라는 게 증명된 꼴”이라고 설명한다. “셰도우브로커스에게 있어 이번 워너크라이 사건은 적절한 장사 기회 정도로 보인 듯 합니다. 미디어에서 하도 시끄럽게 떠드니까 가능한 것이죠.”

셰도우브로커스는 작년 NSA와 연관성이 있는 것으로 추정되고 있는 해킹 단체인 이퀘이젼 그룹(Equation Group)의 해킹 툴들을 털었다고 주장하면서 보안 업계와 범죄자 커뮤니티에 혜성처럼 등장했다. 대선 캠페인 기간에, 미국 정부기관과 관련된 정보를 들고 나타났기 때문에 정치적인 목적을 가진 것으로 짐작됐으나, 셰도우브로커스는 초지일관 “돈만이 목적이다”라고 주장해왔다. 그러면서 자신들의 자료를 5천억 원에 내놨다.

하지만 구매자는 나타나지 않았고, 셰도우브로커스는 여러 판매 전략을 구사했다. 보다 적은 데이터를 보다 낮은 가격에 판매하기도 했고, 크라우드펀딩을 시도하기도 했다. 9백만 원에서 2억 2천5백만 원 정도의 가격에 윈도우 익스플로잇만 따로 골라내 팔기도 했는데, 이 상품 중에 이번 워너크라이 사태의 원흉이 된 SMB 익스플로잇도 포함되어 있는 것으로 알려졌다. 하지만 판매 실적은 변변치 않았고, 셰도우브로커스도 매우 실망했다는 뉘앙스의 글을 포스팅했다.

그런 배경을 가진 셰도우브로커스가 이번에 ‘월 정액제’라는 새로운 판매 전략을 구상한 것이다. 셰도우브로커스는 그 동안 자신들이 정말로 NSA 혹은 이퀘이젼 그룹의 툴을 보유하고 있다는 것을 사람들이 못 믿는고 있는 듯 하다며, 이 불신이 자신들의 실패 이유인 것으로 분석해왔다. 그렇기에 이번 랜섬웨어 사태가 이들에겐 호기로 판단된 것이 전혀 이상할 것이 없다.

위협 첩보 전문 기업인 피시랩스의 분석가 크리스 슈라미(Chris Schrami)는 “여태까지 셰도우브로커스가 공개한 것들은, 무기화하기가 매우 어려운 성질의 취약점들”이라며 “조금 더 잘 들여다보면 워너크라이가 성공했다고, 셰도우브로커스가 앞으로 판매할 익스플로잇들도 마찬가지로 성공할 것이라고 장담하기가 힘들다는 걸 알 수 있을 것”이라고 말한다.

반면 보안 업체인 인텔리시큐어(InteliSecure)의 CTO인 제레미 위트콥(Jeremy Wittkop)은 “워너크라이 사태가 진행되는 와중에 자신들의 판매 전략을 새롭게 구상해서 나올 정도라면, 대단히 민첩하고 판단이 빠른 그룹”이라며 “해킹 범죄자들의 심리나 그쪽 바닥의 흐름을 굉장히 잘 이해하고 있는 것이 분명하다”고 분석한다. “저는 워너크라이 사태와 셰도우브로커스의 움직임이 고급 사이버 공격 및 취약점이 대중화되는 물결의 시초가 될 것이라고 보고 있습니다. 이제 기술력이 낮은 이들도 수준 높은 공격을 할 수 있는 시대로 접어들고 있으며, 방어자들은 반드시 업그레이드될 필요가 있습니다.”

셰도우브로커스가 정말로 월 정액제를 시작하면 어떤 일이 벌어질까? 보안 업체들은 딜레마에 빠질 것이라고 위트콥은 예상한다. “방어 수준을 높이려면 셰도우브로커스의 서비스를 구독해 최신 해킹 기술 트렌드를 파악하는 게 도움이 되겠죠. 범죄자들이 어떤 무기를 들고 있는지 알면, 그에 대한 방패를 제작하는 게 쉬워지니까요. 하지만 이는 동시에 자신들의 궁극적인 적을 후원하는 것이나 다름없는 행위입니다. 방어력을 높일 손쉬운 방법이 있는데, 윤리적으로 문제가 될 수 있고, 아닐 수도 있고... 애매합니다.”

셰도우브로커스가 보안 업계와 범죄 포럼에 등장한 건 1년도 되지 않았다. 이들의 정체는커녕 최초 NSA 툴들을 어떻게 입수했는지조차 아직 파악되지 않고 있다. NSA를 직접 해킹한 것이라면 이들의 기술력이 어느 정도인지 가늠할 수도 없게 되고, 누군가의 도움을 받은 것이라면 그것대로 골치 아픈 일이다. 셰도우브로커스는 “NSA가 가진 사이버전 전력의 75%를 보유하고 있다”고 주장하고 있는데, 이 역시 확인할 길 없어 찜찜함을 남긴다.

보안 업체 리스크센스(RiskSense)의 수석 보안 연구원인 션 딜런(Sean Dillon)은 “그러므로 최악의 사태에 대비해야 한다”고 주장한다. “SMB 하나가 세계를 흔들었습니다. 이들이 가진 건 SMB 이상이겠죠. 분명히 세계를 뒤흔들 공격이 이어질 겁니다. 아직 자신들의 모든 것을 다 드러내지 않은 셰도우브로커스가 또 무슨 짓을 저지를지 모르는데, 모든 가능성을 염두에 두고 대비해야 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>