5.53 버전에서 백도어 멀웨어가 섞여서 다운로드 돼...1달 동안 지속
공격자가 주요 배포망에 개입한 공격...고객과 회사 간 신뢰 망쳐놔

[보안뉴스 문가용 기자] 어베스트(Avast)의 씨클리너(CCleaner) 5.33 버전 소프트웨어 패키지가 침해당해 멀웨어 배달 도구로 전락했다. 씨클리너 클라우드(CCleaner Cloud) 1.07.3191 버전 역시 마찬가지다. 이 때문에 약 2백 27만 엔드포인트가 공격에 노출됐다고 시스코(Cisco)의 탈로스(Talos) 팀이 밝혔다.


탈로스 팀은 자신들이 개발한 새 익스플로잇 탐지 기술을 시험해보다가 한 실행파일에서 고급 멀웨어 탐지 시스템이 발동되는 걸 발견했다고 한다. 그 실행파일은 다름 아니라 씨클리너 5.33 버전의 인스톨러였다. 정상적인 씨클리너 다운로더 서버에서부터 사용자에게 배포되는 바로 그 파일이었던 것이다.

씨클리너는 사용자들이 임시 파일을 깨끗이 지워내고, 시스템을 분석해서 기기 성능의 최적화를 할 수 있도록 도와주는 도구다. 2016년 11월까지 20억 번의 다운로드 횟수를 기록했으며, 1주일에 사용자가 5백만씩 늘어나는 추세다. 현재까지 윈도우와 안드로이드 기기용 애플리케이션이 존재한다.

그런데 32비트 씨클리너 바이너리에서 다단계 멀웨어 페이로드가 발견됐다. 이 멀웨어 페이로드에는 도메인 생성 알고리즘(DGA)과 하드코딩된 C&C 기능 등이 포함되어 있었고, 씨클리너의 원 개발자인 피리폼(Piriform)의 합법적인 디지털 시그니처로 서명까지 되어 있었다. 어베스트는 최근 이 피리폼을 인수한 바 있다.

문제의 씨클리너 5.33 버전은 2017년 8월 15일에 출시되었고, 씨클리너의 다운로드 서버에 9월 11일까지 호스팅됐다. 9월 12일에는 5.34 버전이 출시되었기 때문이다. 이는 즉, 악성 페이로드를 가진 5.33 버전이 1달 가까이 그대로 방치되어 있었다는 뜻이다. 보안 업체 라스트라인(Lastline)의 수석 연구원인 마르코 코바(Marco Cova)는 이 사안에 대해 “이건 소프트웨어의 합법적인 배포망의 일부를 직접 통제하는 데에 성공한 사례”라고 설명한다. “어베스트는 빌드와 배포 채널을 점검해야 할 겁니다.”

탈로스의 수석 기술 전문가인 크레이그 윌리엄스(Craig Williams)도 비슷한 의견이다. “기업의 기본적이고 중요한 인프라 자체에 침투한 공격이 발생한 것이고, 보안 담당자 입장에서는 최악의 사건이라고도 볼 수 있습니다. 만약 공격자가 똑같은 방법으로 삭제형 멀웨어를 뿌렸다고 생각해보세요. 재앙이 일어났겠죠.”

씨클리너에 있던 멀웨어, 어떤 기능을 가졌나?
멀웨어는 먼저 시스템의 사용자가 관리자 권한을 가졌는지 확인부터 한다. 관리자가 아닐 경우 추가로 기능을 수행하지 않는다. 그러나 관리자라고 확인이 되면 시스템 정보를 모은다. 여기에는 설치된 소프트웨어, 프로세스, 업데이트 등이 포함된다. 공격자들은 서버가 응답하지 않을 때 DGA까지 사용해 훔쳐낸 데이터를 계속해서 전송받았다.

“즉, 백도어가 보안 제품의 뒷담에 심긴 겁니다. 그것도 합법적이고 정상적이며, 그러므로 안전하다고 여겨지는 채널을 통해서 제품을 받아도 소용이 없도록 말이죠. 이러한 공격은 고객들의 신뢰를 크게 손상시키는 행위로, 여태까지 본적이 없는 수준의 위협입니다.” 보안 업체 모피섹(Morphisec)의 부회장인 마이클 고렐릭(Michael Gorelik)의 설명이다. 이 문제를 제일 먼저 어베스트 측에 알린 것도 바로 모피섹이었다.

더 심각하다고 할 만한 건 바이너리가 정상 디지털 서명을 가지고 있었다는 것이다. 외부의 공격자가 C클리너의 개발 과정이나 빌드 환경 일부에 개입했을 가능성이 높아지는 부분이다. 그리고 이를 통해 멀웨어를 삽입했던 것으로 보인다. 아니라면, 악성 내부자가 해당 개발 과정에 침투해 엉뚱한 코드를 심었을 가능성도 존재한다. 탈로스는 블로그를 통해 “해당 인증서는 빠르게 취소되어야 할 것”이라고 경고했다.

보안 업체 임퍼바(Imperva)의 보안 연구 책임자인 이트식 만틴(Itsik Mantin)은 “누가 이 공격을 실시했는지 파악하는 건 크게 도움이 되지 않는다”고 주장한다. “외부자가 인프라에 침투했든 내부자가 해코지를 하려고 하든, 공격자들은 자신을 감추는 데에 능숙합니다. 그저 오랫동안 피해 시스템이나 기업에 머물러 있는 것이 1단계 목표이죠. 그러므로 윈도우와 안드로이드 기기들에서 이 백도어를 먼저 제거해내는 것이 시급합니다.”

하지만 이게 쉬운 문제가 아니다. “왜냐하면 피해자들은 자신들이 공격을 당했다거나 감염됐다는 걸 눈치 챌만한 징후가 없기 때문”이라고 윌리엄스는 설명한다. “제 생각에는 멀웨어 제작자 혹은 공격자들이 특정 부류의 사람들이 감염될 때까지 기다리고 있었던 것 같습니다. 그런 후 추가 공격을 할 심산이었겠죠.” 공격자가 기다렸던 것이 특정 부류일 수도 있지만, 어느 정도 ‘규모’였을 수도 있다고 그는 덧붙였다.

감염이 의심되는 사용자의 경우, 기기를 8월 15일 이전 상태로 돌려놔야 한다. 그런 후에는 씨클리너 5.34 버전을 재설치해야 한다. 씨클리너는 자동 업데이트를 지원하지 않기 때문에 이 모든 과정은 수동으로 진행시킬 수밖에 없다. 윌리엄스는 “8월 15일 이전의 백업 자료를 가지고 있다면 그 데이터를 활용하는 게 가장 안전하고, 그렇지 않다면 시스템 전체를 포맷하는 게 가장 안전합니다.”

현재 공격자들은 이렇게 ‘합법적’이라고 여겨졌던 방식에 대한 공격을 증가시키고 있는 추세다. 이는 사용자와 공급자 간 신뢰를 뒤흔드는 것이라고 볼 수 있다. “또한 공격자들이 최근들어 아직 전문가 테스트를 받지 못한 정상 소프트웨어를 공격하는, ‘틈새 공략’을 하고 있기도 합니다. 공격도 쉽고 효과도 좋기 때문이죠.”

윌리엄스는 “기업들이라면, 보안 도구들 혹은 보안의 가장 기본 밑바당부터 점검해야 한다”고 권장한다. “다른 게 아니에요. 내가 사용하는 제품은 어느 회사에서 만든 것인지 알아보고, 그 회사의 보안 정책 및 수준을 조사하는 것이죠. 그게 바로 밑바탕에서의 점검입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>