북한에서 개발되고 배포된 것으로 알려진 백신, 지적재산 도용
트렌드 마이크로는 “해적 행위” 주장...다크호텔과 연계되기도

[보안뉴스 문가용 기자] 북한에서만 배포되고, 북한 주민들만 사용하는 백신을 분석했더니 10년 전에 트렌드 마이크로(Trend Micro)가 발표한 백신 스캐닝 엔진이 나왔다. 물론 있는 그대로의 모습이 아니라 특정 멀웨어는 무시하도록 개조된 상태였다고 한다.


이는 보안 업체 체크포인트(Check Point)가 발표한 내용으로, 실리백신(SililVaccine)이라고 알려진 북한의 백신 프로그램을 최근 독자적으로 입수 및 분석하는 데 성공했다고 한다. 북한의 일반 주민들은 공공 인터넷에 접근이 불가하고, 북한은 전 국가 차원의 인트라넷을 따로 운영한다. 하지만 북한의 고위 관리자들 중 극소수(김정은 일가)는 공공 인터넷을 사용할 수 있다.

체크포인트는 “북한의 기술을 전문적으로 추적하는 한 프리랜서 기자에게서 실리백신의 샘플을 확보했다”며, “해당 기자는 실리백신 프로그램으로의 링크가 포함된 수상한 이메일을 받아 이 샘플을 구할 수 있었다”고 확보 경위를 설명했다. 또한 “북한이 어떻게 트렌드 마이크로의 백신 엔진을 구했는지 알 수 없지만, 북한과 트렌드 마이크로 사이에 공식적인 거래가 없으므로, 북한이 지적재산을 훔쳤을 가능성이 높아 보인다”고 말하기도 했다.

트렌드 마이크로의 글로벌 위협 통신 책임자인 존 클레이(Jon Clay)는 외신과의 인터뷰를 통해 “훔쳤다고 해도 트렌드 마이크로 시스템을 해킹한 것은 아니”라고 주장했다. “트렌드 마이크로 내에서는 북한이 소프트웨어 해적 행위를 한 것으로 보고 있습니다. 저희의 소프트웨어를 불법적으로 사용하고 있는 것이죠. 북한은 소프트웨어를 리패키징 해서 국가 내에 재판매 하는 행위를 수년 간 저지르고 있습니다. 2013년에는 이러한 해적판 어도비 리더가 발견된 사례도 있죠.”

그러면서 “트렌드 마이크로로부터 훔친 소스코드를 사용한 흔적은 발견되지 않았다”며 “어떠한 데이터도 북한으로 유출되지 않은 것이 확실하다”고 덧붙이기도 했다. “아마도 공개된 버전의 스캔 엔진으로부터 DLL을 추출하고, 이를 조작한 것으로 보입니다.”

추측이 난무하는 가운데 확실한 건 북한이 남의 엔진을 사용했으면서도 스스로 개발한 것처럼 실리백신을 포장했다는 것이다. 트렌드 마이크로의 멀웨어 분석 팀장인 마이클 카지로티(Michael Kajiloti)는 “북한이 스스로 개발한 것처럼 보이기 위해 정성스럽게 꾸렸지만 그 이면엔 많은 것을 숨기고 있다”며 “시그니처들은 암호화되어 있고, 필드들에는 보호 장치가 적용되어 있었다”고 말한다.

한 예로, 실리백신은 트렌드 마이크로의 백신 패턴 파일들을 그대로 사용하지만, 멀웨어 시그니처들의 이름을 전부 북한 말이나 용어로 바꿨다고 체크포인트는 설명한다. “트렌드 마이크로의 엔진 아이덴티티 역시 꽤나 잘 마스킹 처리 되어 있었습니다. 뭔가 원천 기술의 출처가 수상하다는 감추기 위해 대단한 노력을 부은 것을 알 수 있습니다.” 체크포인트의 보안 전문가인 마크 레흐틱(Mark Lechtik)의 설명이다.

하지만 트렌드 마이크로의 존 클레이는 “북한의 실리백신에서 트렌드 마이크로의 백신 시그니처 업데이트로의 접근 권한을 발견한 바가 없다”고 주장한다. “실리백신은 북한 스스로가 개발하거나 추적하는 시그니처들을 사용하고 있습니다.” 두 회사의 주장이 엇갈리고 있는 상태다.

또 다른 주요 특징은 이 백신이 특정한 상황에서 백신 역할을 하고 있지 않다는 것이다. 트렌드 마이크로가 MAL_NUCRP-5라고 이름 붙이고 블랙리스트 처리하는 멀웨어 시그니처가 있는데, 실리백신은 이를 화이트리스팅 한다. MAL_NUCRP-5는 가짜 백신 인스톨러나 드로퍼 등의 멀웨어에서 많이 발견되는 특정 행동 패턴과 관련이 있는 시그니처다. 이런 특정 요소들이 화이트리스팅 되고 있다는 건 북한 정부가 주민들의 컴퓨터에 멀웨어를 몰래 심을 수 있다는 뜻이라고 체크포인트는 해석한다.

레흐틱은 “체크포인트의 분석 결과 실리백신의 개발은 수년 동안 진행되어 온 것으로 보인다”며 “트렌드 마이크로 제품에 대한 단기간 리버스 엔지니어링이 진행된 것으로 보이지는 않는다”고 주장했다. “원래 소프트웨어에 접근을 했다는 것이 더 타당해 보입니다.”

체크포인트는 분석한 내용을 트렌드 마이크로와 공유했고, 트렌드 마이크로는 이 보고 내용을 분석해 10년 전 버전의 백신 엔진인 VSAPI Scan Engine 8.9x가 실리백신 내에 존재하고 있음을 확인했다. 그러나 “소스코드는 발견하지 못했다”고 한다. 그러므로 해적 행위에 의한 것이지, 트렌드 마이크로 시스템이 뚫린 것은 아니라고 보고 있다. “컴파일링 된 코드 라이브러리가 불법 복제되고, 리패킹된 것으로 보입니다. 그런 후에 추가 애플리케이션 코드(북한이 만든)를 덧입혀 판매 혹은 배포된 것이죠.”

트렌드 마이크로가 “시스템 침해로 인한 소스코드 유출이 아니다”라고 강력하게 주장하는 건, 트렌드 마이크로의 고객들을 안심시키기 위해서인 것으로 해석된다. 실제로 이번에 문제가 된 트렌드 마이크로의 백신 엔진은 대단히 오래된 것으로, 트렌드 마이크로의 현재 백신 사용자들에게는 실질적인 영향이 존재하지 않을 것으로 확신되고 있다. 또한 실리백신에도 자체 암호화 파일들이 있어 현재의 트렌드 마이크로 백신 제품으로도 실리백신 사용자들에 영향을 줄 수 없다.

클레이는 “북한에도 리버스 엔지니어링 기술을 갖춘 프로그래머가 있다고 볼 수 있다”고 결론을 내린다. “그러므로 소프트웨어 개발사들은 북한의 해킹 행위만이 아니라 해적 행위도 조심해야 할 것입니다.”

다크호텔이라는 단서
실리백신의 샘플을 체크포인트에 넘긴 기자는 마틴 윌리엄즈(Martyn Williams)라는 인물이다. 그는 2014년 7월 수상한 이메일을 한 통 받았다. 보낸 사람은 자신이 일본의 엔지니어라고 소개했고, 드롭박스에 호스팅된 집 파일을 전송했다. 이 파일 내에 실리백신 샘플이 있었던 것이다. 그리고 또 다른 파일도 하나도 있었는데, 바로 자쿠(JAKU)라는 멀웨어였다. 자쿠는 트로이목마형 드로퍼로 다크호텔(Dark Hotel)이라는 북한의 사이버 공격 작전 혹은 사이버 공작 부대와 관련이 깊다.

이 자쿠 멀웨어를 인증, 서명한 회사는 다크호텔의 다른 멀웨어들을 서명한 회사와 같았다. 다크호텔이 ‘북한’을 숨기기 위해 사용한 수법이기도 하다. “그렇다고 자쿠가 실리백신과 함께 패키징 되어 배포된다고 확신할 수는 없습니다. 그럴 가능성이 아예 없는 건 아니지만, 마틴 윌리엄즈 기자의 경우는 표적 공격의 대상이 된 것으로 보입니다. 그렇기에 자쿠가 함께 포함된 것이라고 봐야겠죠.” 레흐트의 설명이다.

자쿠는 오늘날까지 약 1만 9천명의 사용자들을 감염시켰다. 특히 악성 비트토렌트(BitTorrent) 공유 파일들을 통해 퍼져나가는 것으로 유명하다. 피해 대상은 대부분 일본과 한국의 비영리 단체, 엔지니어링 회사, 정부 기관, 학술 기관 등이다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>