원격 관리 소프트웨어 렘코스, 해킹 포럼에서 가장 많이 거래돼
회색 지대에 있는 툴의 존재는 항상 위험...구매하지 않는 편이 나을 수도

[보안뉴스 문가용 기자] 독일의 보안 업체인 브레이킹 시큐리티(Breaking Security)가 판매하고 있는 윈도우용 원격 관리 프로그램 렘코스(Remcos)가 제작자의 의도와 달리 해커들 사이에서 인기가 높아지고 있다고 한다.


시스코의 탈로스(Talos) 팀에 의하면 렘코스는 현재 사이버 공격자들의 원격 접근 툴(RAT)로서 활용되고 있으며, XP 이상 버전의 모든 윈도우 시스템에 대한 완벽한 통제권을 공격자들에게 가져다준다고 한다. 윈도우 서버 버전들도 공략이 가능하다.

브레이킹 시큐리티 측은 “렘코스는 합법적인 윈도우 관리를 위해 개발된 툴”이라며 “이를 악의적인 목적 달성을 위해 사용하는 사용자들이 있다면 라이선스를 전부 취소시키겠다”고 발표했다. 렘코스는 57$~450$의 가격으로 판매되고 있다.

하지만 렘코스 거래가 가장 활성화 된 곳은 해킹과 관련된 포럼들이다. 각종 포럼에서 렘코스에 대한 광고와 판매자를 접할 수 있다고 시스코 팀은 말한다. 또한 브레이킹 시큐리티 측도 이를 알고 있는 것으로 보이며, 어떤 경우에는 적극 개입하기도 한다고 시스코 팀은 밝혔다. 터키의 국방 관련 기관도 최근 렘코스를 사용하는 공격자들에게 당했다.

브레이킹 시큐리티에서 관리자 및 개발자로 근무하고 있다고 주장하는 프란체스코 비오토(Francesco Viotto)라는 인물은, 탈로스의 이러한 주장이 잘못됐으며, 온전하지도 않고, 회사에 큰 타격을 주는 무책임한 것이라고 반박했다. 그러면서 렘코스는 다량의 원격 관리 업무를 수행하게 해주는 강력한 툴일뿐이라고 설명했다.

“브레이킹 시큐리티는 많은 고객을 보유하고 있습니다. IT와 사이버 보안은 물론 사업 경영자와 일반 개인 사용자 등 고르게 분포하고 있습니다. 렘코스는 굉장히 유연하고 강력한 도구입니다. 고객들 중 일부가 이런 점을 악용해 소유권이 없는 장비를 통제하는 데 성공한 것이 사건의 전부입니다. 브레이킹 시큐리티는 이러한 악용을 강력하게 금지시키고 있으며, 약관을 통해 확인할 수 있습니다. 구매자들은 전부 이 약관에 동의하고 있습니다.”

또한 비오토는 “렘코스 사용자들에게는 고유 라이선스 코드가 부여된다”며 “렘코스가 악용되거나 불법적으로 설치될 때 파악하기 쉬운 시스템”이라고 설명했다. “브레이킹 시큐리티는 사용자가 소프트웨어를 악용한다는 걸 파악했을 때 이 고유 코드를 통해 추적하고 라이선스를 취소시킵니다. 또한 이러한 사례를 제보할 수 있는 창구도 웹사이트를 통해 운영하고 있기도 합니다. 하지만 탈로스 팀은 저희에게 아무런 제보도 하지 않고 보고서를 발표했더군요.”

그러면서 비오토는 시스코 보고서에 대해 “브레이킹 시큐리티가 렘코스를 범죄자들에게 판매하고 있다고 주장하기 전에, 렘코스 안에 내장되어 있는 남용 방지 코드에 대해서는 왜 하나도 언급을 하지 않고 있는지 궁금하다”고 말했다. “제가 직접 프로그램을 짜서 넣은 겁니다. 이런 방지 노력에 대해서는 일절 언급도 하지 않고 왜 그렇게 무책임한 주장을 한 것일까요? 방지 코드를 넣고 범죄자들에게 파는 경영 전략이 합리적입니까?”

비토는 “시스코가 정말로 위험을 막는 것 자체를 목적으로 하고 있다면 제일 먼저 브레이킹 시큐리티 측에 알렸어야 한다”고 주장했다. “지금은 그냥 큰 소리를 내고 자신에게 시선을 집중시키고 싶어 하는 것 같습니다.”

한편 시스코의 탈로스가 발표한 보고서의 내용을 보면 공격자들이 다양한 방법을 통해 렘코스를 퍼트리고 많은 엔드포인트들에 설치하려는 걸 발견했다고 나와 있다. 특히 정교하게 만들어진 스피어피싱 이메일이 많이 사용되고 있다고 한다. 한 공격자는 렘코스를 사용해 뉴스 매체, 디젤 장비 생산자, HVAC 서비스 업체, 에너지 및 해양 산업 기관을 고루 노리기도 했다.

게다가 공격자들이 사용하는 ‘합법적 장비’가 렘코스만이 아닌 것으로 알리고 있다. 브레이킹 시큐리티에서 판매하는 다른 툴들도 나쁜 일에 악용되고 있다는 것. “브레이킹 시큐리티는 옥토퍼스 프로텍터(Octopus Protector)라는 암호화 툴을 판매하는데, 공격자들은 이를 이용해 멀웨어를 숨깁니다. 심지어 브레이킹 시큐리티는 홈페이지를 통해 옥토퍼스 프로텍터로 안티 멀웨어 툴을 우회하는 방법을 유튜브 영상으로 제공하고 있기도 합니다.”

그러면서 탈로스는 “렘코스를 포함해 브레이킹 시큐리티가 판매하는 다양한 툴들을 조합하면 불법적인 봇넷을 구성하고 유지할 수 있게 된다”고 주장했다. “기술적인 측면에서 보면 렘코스는 꽤나 표준에 가까운 RAT라고 볼 수 있습니다. 하지만 이게 공공연히 합법적으로 판매되고 있다는 게 재밌는 점이죠.” 탈로스의 보안 전문가 크레이그 윌리엄즈(Craig Williams)의 설명이다. “보통은 멀웨어 사용자들이 좋아할 법한 툴을 합법적인 소프트웨어인 것처럼 파는 사업 모델은 굉장히 독특하다고 볼 수 있습니다.”

윌리엄즈는 “이런 ‘회색 소프트웨어’의 출현은 굉장히 염려스러운 일”이라고 지적했다. “물론 합법적으로 사용이 가능하니, 정당한 목적 아래 만들어졌다고 주장할 수 있습니다. 브레이킹 시큐리티에서 파는 제품들을 조합하면, 원격에 있는 컴퓨터에 백신을 피할 수 있는 바이너리를 심고 키로깅까지 해가면서 모니터링 할 수 있게 되는데요, 이런 행위가 경우에 따라서는 유용할 수도 있고 합법적일 수도 있습니다. 하지만 어떤 경우에 이런 행위가 합법적으로 받아들여질지 잘 생각나지 않습니다.”

윌리엄즈는 “이번에 렘코스를 발견하고, 브레이킹 시큐리티라는 회사의 사업 모델을 알게 되면서 관리 툴로 분류되는 소프트웨어는 구매하지 않는 편이 좋다는 걸 다시 한 번 확인할 수 있었다”고 말한다. 탈로스는 렘코스에 당한 기관이나 기업을 위해 오픈소스 툴을 만들어 제공하고 있다.

3줄 요약
1. 독일의 보안 업체, 원격 관리 툴 생산해 판매하고 있으나 해킹 포럼에서 활발히 거래되는 상황.
2. 해당 업체는 범죄자들과 연루되지 않았고, 남용하는 사용자의 라이선스 취소시키고 있다고 주장.
3. 연루 여부를 떠나 해킹 툴이나 다름없는 관리 툴 혹은 ‘회색 소프트웨어’의 존재는 늘 위험하다는 걸 알려주는 사례임.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>