위키리크스, 엘사에 이어 새로운 CIA 툴 공개
넷필터 테이블 생성해 방화벽 규칙 바꾸도록 만들어

[보안뉴스 문가용 기자] 위키리크스가 CIA의 와이파이 익스플로잇 툴인 엘사(Elsa)를 공개한 것에 이어 아웃로컨트리(OutlawCountry)라는 툴에 대해 세상에 알렸다. 아웃로컨트리는 리눅스 운영 체제를 대상으로 공격을 실행하는 기능을 가지고 있다. 아웃로컨트리 1.0 버전의 사용자 매뉴얼은 여기서 다운로드가 가능하다.


위키리크스의 전문에 의하면 아웃로컨트리는 공격 표적이 된 컴퓨터의 아웃바운드 네트워크 트래픽을 CIA가 조정하는 기계로 우회시킬 수 있다고 한다. 그리고 이를 통해 상대를 정찰하고 필요에 따라 정보 유출을 단행할 수 있다고 강조했다.

아웃로컨트리가 작동할 수 있는 환경, 즉 공격의 표적이 되는 OS는 리눅스인데, 64비트 CentOS/RHEL 6.x 버전과 호환이 되어야만 한다. 커널 버전도 2.6.32여야만 한다. 이런 시스템의 경우 아웃로컨트리를 통해 침투해 들어가 보안 설정을 바꿀 수도 있게 된다.

위키리크스는 “아웃로컨트리는 숨겨진 넷필터 테이블을 생성해주는 파일로 구성되어 있는데, 공격자 입장에서는 넷필터 테이블 이름만 알면 방화벽에 적용된 정책을 마음대로 바꿀 수 있게 된다”며 그 위험성에 대해 설명한다. 또한 관리자 권한을 가지고 있는 사람들 중 해당 테이블 이름을 아는 사람만이 테이블을 볼 수 있기 때문에 오랜 시간 숨어 있기도 좋다. 운영자가 커널 모듈을 삭제하면 테이블도 삭제된다.

리눅스 오픈소스 소프트웨어를 공급하는 레드햇(Red Hat)은 언론 인터뷰를 통해 “아웃로컨트리에 대한 상세 문서를 제작했다”고 밝혔다. “레드햇 제품의 취약점이 있어서 아웃로컨트리 공격이 가능하게 되는 건 아닙니다. 작성된 문서는 아웃로컨트리 공격이 이미 시작되었을 때 대처할 수 있는 방법과 사용할 수 있는 툴들에 대해 집중적으로 설명되어 있습니다.”

그렇다면 감염 여부를 일반 사용자가 어떻게 알 수 있을까? 레드햇 측은 “nf_table_6_64.ko라는 파일이 있는지 확인해보고, dpxvke8h18라는 이름을 가진 iptable 규칙 내에 존재하는지 확인해보라”고 설명한다. “lsmod | grep nf_table이라는 명령어를 사용하면 커널 모듈을 확인할 수도 있습니다.”

이번에 공개된 아웃로컨트리 문서는 2015년 6월에 작성된 것으로 나타난다. 또한 툴을 사용하려면 쉘 접근 권한과 루트 권한이 필요하다고 설명되어 있다. 아웃로컨트리 역시 ‘볼트 7(Vault 7)’ 문건에 포함되어 있는 CIA 툴 중 하나다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>