• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아직 공격 실시하지 않고 자리만 잡은 툴, 로잭 2018.05.03

정상 툴 그대로...C&C 서버 주소만 원래 것에서 공격자의 것으로
아무런 피해 없지만, 앞으로 무슨 일 벌어질지 몰라...5개 도메인 차단 필요

[보안뉴스 문가용 기자] 컴퓨터 복구 툴인 로잭(LoJack)을 사용한 새로운 공격이 발견됐다. 이 툴을 활용해 회사의 방어망을 뚫고 침투할 뿐만 아니라 네트워크 내 오랜 시간 머물 수 있는 기반까지 마련한다고 한다. 다행인 것은 아직까지 로잭 공격자들이 침투 이후의 악성 행위를 활발하게 진행하지는 않았다는 것이다.

[이미지 = iclickart]


이 공격을 발견한 건 보안 업체 아버 네트웍스(Arbor Networks)로, 엔드포인트 에이전트 중 하나인 로잭과 관련된 수상한 행위들을 감지하며 조사가 시작되었다고 한다. “공격자들은 로잭이 원래 하는 합법적인 기능들에 아무런 변화를 주지 않았습니다. 다만 정상 C&C 서버 주소를 자신들의 주소로 바꿔치기한 것뿐입니다.”

아버의 위협 분석 책임자인 리차드 허멜(Richard Hummel)은 “이러한 조작 행위가 너무나 미묘하고 미세해서 대부분의 멀웨어 및 이상 현상 탐지 툴로는 발견하기가 힘들 것”이라고 말한다. “게다가 관리자 수준에서 로잭이 구축되어 있다면 사용자가 이상한 점을 전혀 발견하지 못할 가능성이 높습니다. 사실 주소만 악성일 뿐인 로잭이 멀웨어라고 보기도 힘들죠.”

한편 새롭게 기입된 C&C 서버의 주소들을 추적한 아버는 “이번 캠페인의 배후에는 팬시 베어(Fancy Bear)가 있는 것으로 보인다”고 분석한다. 팬시베어는 러시아의 해킹 그룹으로 최근 꽤나 세상을 떠들썩하게 만든 해킹 사고들을 일으킨 바 있다.

허멜은 “로잭은 설치된 후 C&C 주소만 바꾸고 접속된 사실만 악성 서버로 전송할 뿐 그 외에는 사실상 아무 것도 하지 않는다”며 “그렇기에 이러한 공격을 탐지할 수 있는 소프트웨어나 탐지 앱은 존재하지 않는다고 봐야 한다”고 말한다. 누가 봐도 현재의 공격에 동원되는 로잭은 정상적인 툴일 뿐이다.

아무 것도 하지 않으려면 로잭 공격은 왜 일어나는 걸까? “일단 자리를 잡고는 있습니다. 조용히 뭔가를 기다리고 있는 것으로 보입니다. 시스템을 리부트 해도 한 번 설치되면 그 시스템에 오랜 기간 머무릅니다.”

허멜은 공격자가 나중에라도 침투할 수 있는 경로를 확보하고 있는 것만으로도 충분한 위협이 된다고 설명한다. “아직은 로잭이 특별히 뭔가를 실시하거나 특정한 파일을 실행하지는 않습니다. 하지만 언제라도 C&C 서버에서 명령이 전달되면 그걸 그대로 실행할 수 있겠죠.”

이런 로잭이 만약 대단히 중요한 시스템에 침투했다면 어떨까? 높은 권한을 가진 사용자를 감염시켰다면? “공격자들은 아직까지 아무 일도 하지 않고 있다고 하더라도, 현재 그 시스템 혹은 사용자가 소속된 조직에 마음대로 드나들 수 있게 된 상태라고 볼 수 있습니다. 권한이 높은 시스템이라면, 아무 소프트웨어나 설치해도 되겠고, 거의 모든 정보에 접근도 가능하겠죠.”

아직까지 로잭 공격에서 획기적인 것이나 대단히 새로운 점이 발견된 것은 아니다. 코딩 자체도 그리 놀랄 것이 없다고 허멜은 말한다. “공격 기법 자체도 이미 2014년부터 대세로 자리 잡은 것이기도 하고요. 2014년이면 로잭이 컴퓨트레이스(Computrace)라는 이름으로 시장에 나와 있을 때의 일입니다. 당시도 이미 컴퓨트레이스를 공격하면 공격자가 오랜 기간 시스템에 머물 수 있겠다는 시나리오가 있었습니다.”

허멜은 아직 정확한 감염 경로를 찾아내지는 못하고 있다. “최종 페이로드가 어떤 식으로 퍼지는지를 팬시 베어의 다른 공격 사례들에 견주어 분석 중에 있습니다. 하지만 아직까지 이렇다 할 공격 경로를 찾아내지는 못했습니다. 하지만 일단 로잭의 개발사가 이러한 행위와 연루되지는 않은 것으로 보입니다.”

그렇다면 기업들은 이 기분 나쁜 공격 캠페인을 어떤 식으로 막아야 할까? 허멜은 “제대로 된 보안 위생 점검 및 문화부터 모든 것이 시작한다”고 강조한다. “임직원이 임의대로 출처도 모르는 소프트웨어를 확인도 받지 않고 설치하지 못하도록 회사 정책을 만들고, 그러한 문화를 만들어가야 합니다. 이건 사생활이나 자유 침해가 아니라 당연한 안전 수칙입니다.”

또한 아버는 로잭이 사용하고 있는 다섯 개의 도메인을 공개하기도 했다. 이는 1) elaxo.org, 2) ikmtrust.com, 3) lxwo.org, 4) sysanalyticweb.com(의 두 가지 형태)이다. “IT 팀들은 이 다섯 개의 도메인을 즉시 블랙리스트 처리하는 것이 좋습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>