• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

범죄자들 많이 사용하는 RAT 툴에도 취약점 있다 2017.06.26

공격자들 수준 그리 높은 것만도 아냐...소프트웨어 불완정성 같아
보복 해킹으로서는 얻을 것 없어...차라리 범인 색출 효과 있을 듯

[보안뉴스 문가용 기자] 특정 원격 관리 툴(Remote Administration Tools, 이하 RAT)을 사용하는 위협 행위자들이 스스로 멀웨어에 감염될 가능성이 있다는 사실이 밝혀졌다. 이런 종류의 툴들에서 새롭게 발견된 취약점들 덕분에 피해자와 공격자의 위치가 뒤바뀔 수도 있게 되었다.

[이미지 = iclickart]


특정 대상을 목표로 한 ‘표적형 사이버 공격’에 당하는 기업들은 해마다 수천~수만 곳에 달한다. 피해 기업들은 이러한 공격들에 ‘APT’라는 말을 붙여 ‘어쩔 수 없었고’, ‘불가항력적이었음’을 피력한다. 공격자들이 너무나 뛰어나고 머리도 좋아 안 당하고는 못 배긴다는 식으로 자신들의 처지를 설명하곤 한다.

하지만 시만텍의 수석 위협 분석가인 웨일론 그렌지(Waylon Grange)에 의하면 “그렇게 불가항력적인 공격을 받은 기업은 극히 소수일뿐”이라고 일축한다. 심지어 해커들이 사용하는 툴들에도 취약점이 있어 공격자가 도리어 공격을 당할 가능성도 높다는 것이다.

“지난 수년 간 발생한 APT 공격들에 관한 기록을 검토해보니 겹치는 RAT 툴들이 있더군요. 저희가 오피스 프로그램을 널리 사용하는 것처럼 말이죠. 그런 RAT 툴들로는 고스트랫(Gh0stRAT), 코플러그/플러그엑스(Korplug/Plug-X), 엑스트림랫(ExtremeRAT) 등이 있습니다. 그런데 이 툴들의 C&C 요소들에 취약점들이 있어요. 그것도 공격을 당한 자들이 익스플로잇 할 수 있게 해주는 취약점이요.”

공격자가 피해자가 될 수 있는 상황이 연출될 수 있다는 설명인 것인데, 그렌지는 “피해자가 익스플로잇을 시작하면 원격에서 공격자의 기기로 침투해 들어가 마음대로 검색할 수도 있고, 이를 통해 추가 취약점들을 발견할 수도 있게 된다”고 설명한다. 이런 툴들의 기술적 취약점 및 익스플로잇 방법은 다음 달 미국에서 열리는 블랙햇에서 ‘디지털 복수’라는 제목으로 공개될 예정이다.

그렌지는 “보복 해킹을 할 수 있는 때가 되었다고 오해하지 않았으면 한다”고 강조한다. 다만 위에서 언급된 세 가지 인기 많은 RAT 툴들을 사용할 때의 리스크가 이전보다 높아졌다는 것만으로도 충분히 가치가 있는 발견이라고 그는 설명한다. “고스트랫의 경우 10년 전부터 주로 중국 해커들이 사용하던 것입니다. 각종 스파잉 기능을 가지고 있는 도구인데요, 이미 대부분의 백신들도 잡아내는 툴이죠.”

백신이 고스트랫을 발견하면 특정 파이선 스크립트를 사용해 멀웨어를 검색하고 환경설정 정보를 추출해내는 게 가능해진다. 해당 스크립트는 C&C 주소로 신호를 보내고 정보를 보낼 수도 있게 해준다. 이 정보에는 당연히 멀웨어도 포함시킬 수 있다. “피해자도 공격자를 스파잉할 수 있게 되는 것이죠.”

중요한 건 보복 해킹은 아직까지 불법 행위라는 것이다. 그렌지 자신도 해당 툴들의 ‘보복 해킹 실험’을 실험실 환경에서만 진행했을 뿐이라고 한다. 공격 대상도 당연히 그렌지가 운영하는 실험실의 컴퓨터들이었다. “설사 이러한 행위가 합법화 된다고 하더라도 (상황이) 크게 달라지지도 않을 것이고 별 의미도 없을 것입니다.”

왜 그렇게 생각하는 것일까? “공격자들로서는 세 가지 툴만 버리고 다른 툴을 사용하면 되거든요. 오히려 더 독기를 품고 달려들겠죠. 보복 해킹으로 얻을 수 있는 건 거의 없습니다. 다만 이러한 취약점들을 악용해 보안의 고질적인 문제인 ‘범인 색출’에 힘을 줄 순 있을 겁니다. 즉 공격자를 정확히 파악해 사법 시스템으로서 체포하는 게 가능해진다는 것이죠.”

그렌지는 사이버 공격자들이라고 해서 IT 천재들이나 외계인 수준의 기술력을 갖춘 건 아니라고 설명한다. “우리가 사용하는 소프트웨어도 그들이 사용하는 소프트웨어도, 모두 불완전합니다. 괜히 ‘그들은 천재고 뛰어나고 멋져’라는 선입견이 방어를 더 어렵게 만드는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>