엘사, 2013년부터 시작된 프로젝트인 듯...표적의 위치 추적 가능
엘사는 윈도우 7 체제만 노려...그 동안 업그레이드 됐을 가능성 높아

[보안뉴스 문가용 기자] 이른바 볼트 7(Vault 7)이라고 불리는 문서를 공개했던 위키리크스가 CIA가 사용했다고 보이는 해킹 툴을 추가로 공개했다. 이름은 엘사(Elsa)로, 표적의 랩톱이나 모바일 기기의 와이파이 연결을 통해 위치 추적을 가능케 해주는 기능을 가졌다고 한다. 다음은 위키리크스가 공개한 내용 전문이다(첨부 파일 제외).


2017년 6월 28일, 위키리크스는 CIA의 엘사 프로젝트와 관련이 있는 문서들을 공개합니다. 엘사는 마이크로소프트 윈도우 체제로 운영되는 기기들 중 와이파이 연결 기능을 가지고 있는 기기들의 위치 추적을 가능하게 해주는 멀웨어입니다. CIA의 다른 익스플로잇을 사용해 공격 대상이 되는 기기에 한 번 설치가 되면, 엘사는 먼저 와이파이 접근점들을 스캔하고 ESS 식별자(ESS ID, ESS Identifier)와 맥 주소, 신호 세기 등을 주기적으로 기록합니다.

감염이 된 기기가 오프라인이거나 접근점과 연결되어 있지 않더라도 데이터를 빼돌릴 수 있습니다. 기기가 인터넷에 연결되어 있다면 엘사가 자동으로 구글이나 마이크로소프트의 공공 위치정보 데이터베이스를 사용해 기기의 위치를 알아내고, 경도/위도 좌표값으로 타임 스탬프와 함께 저장합니다. 이렇게 수집된 접근점 및 위치 정보는 암호화된 형태로 기기에 저장되며, 이는 후속 공격 시 재사용됩니다. 이 데이터는 CIA의 백엔드로 자동 전송되지 않습니다. 엘사를 운영하는 누군가가 로그 파일을 계속해서 빼내야 합니다. 이 과정에서 별도의 CIA 익스플로잇 및 백도어가 활용됩니다.

엘사 프로젝트를 활용하면 공격 표적의 환경 및 공격 목적에 맞게 임플란트를 유연하게 커스터마이징 할 수 있게 됩니다. 정보 수집 주기나 로그파일의 최대 크기, 공격 대상이 된 기기 안에 오래 머무르는 기술 등을 조정할 수 있는 것입니다. 추가 백엔드 소프트웨어(이 소프트웨어 역시 구글과 마이크로소프트의 공공 위치 정보 데이터베이스를 활용합니다)를 활용하면 탈취해낸 로그파일로부터 처리되지 않은 접근점 정보를 위치 정보로 변환시킬 수도 있게 됩니다.

첨부된 엘사 매뉴얼은 여기서 열람이 가능하다. 엘사 프로젝트는 CIA 내에서 적어도 2013년부터 시작된 것으로 보이며 윈도우 7 운영 체제를 사용하고 있는 PC와 랩톱을 주요 표적으로 삼고 있다. 엘사 프로젝트의 상세 문건을 열람한 전문가들은 “방법이 꽤나 쉽고 간단해 다른 윈도우 버전에 대한 비슷한 공격법을 고안해낸다는 게 크게 어려운 일은 아닐 것”이라고 설명한다. 즉, 볼트 7을 더 분석하면 엘사와 유사한 프로젝트가 더 나올 수도 있음을 시사한 것이다.

보안 업체 이뮤니티(Immunity)의 위협 첩보 전문가인 알렉스 맥조지(Alex McGeorge)는 “이미 4년 전 문건을 통해 공개된 내용”이라며 “CIA는 내부적으로 이러한 공격법을 훨씬 더 발전시켰을 것이 분명하다”고 설명한다. 또한 언뜻 보기엔 “와이파이가 있는 기기에만 해당하는 위협이라 대수롭지 않게 보이지만, 사실 현대 사회에서 와이파이 되지 않는 기기가 찾기가 더 힘들지 않느냐”고 반문하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>