여태까지 중국이 한 것으로 알려져 있던 사건...알고 보니 이란과 관련 깊어
NSA의 것으로 보이는 데이터 덤프...3년이 지난 지금까지도 미스터리와 같아

[보안뉴스 문가용 기자] 한 보안 전문가가 약 10년 전부터 시작돼 현재까지 진행되고 있는 APT 공격을 발견했다고 주장했다. 그리고 이 위협에 대한 자료는 지난 2017년 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 NSA 문건과 도구들 속에 섞여 있었다고 한다.


카스퍼스키(Kaspersky)와 구글에서 근무한 바 있는 보안 전문가 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)는 가상으로 진행된 OPCDE에서 이와 같은 내용을 발표했다(https://www.youtube.com/watch?v=QImyKDvryq8). SIG37을 분석한 그는 강연을 통해 “이전까지 한 번도 드러나지 않은 사이버 공격 행위에 대한 내용이 포함되어 있었고, 2008년부터 시작된 것으로 보인다”고 발표했다.

게레로사드는 이 캠페인을 나자르(Nazar)라고 명명했다. 멀웨어 드로퍼 일부에서 페르시아어로 된 자원과 디버그 경로들을 발견했는데, 이것과 관련이 있다고 한다. 또한 나자르가 2010~2013년 즈음 일어났을 것이라고 보고 있기도 하다. 그 이유는 해당 기간 동안 바이러스토탈(VirusTotal)에 업로드 된 샘플들 때문이다.

현재로서는 나자르 캠페인의 규모가 어느 정도나 되는지 정확히 알 방법이 없다. 이미 한참 전에 시작된 것이기 때문에 피해자나 C&C 서버를 추적하는 게 힘들기 때문이다. 다만 이란에 있는 기계들에 세 가지 멀웨어 샘플들이 집중적으로 침투 시도한 흔적이 발견됐고, 이 샘플들은 이란에서부터 바이러스토탈로 업로드 됐다고 한다.

게레로사드는 강연을 통해 “현재까지 남아 있는 정보들을 종합했을 때, 이란의 해커들이 이란의 단체를 공격한 것 같아 보인다”고 밝혔다. 하지만 명확한 증거에 기반을 둔 ‘결론’은 아니다. “현 시점에서 중요한 건 이 나자르 작전 혹은 캠페인이 2013년 이전부터 상당 기간 진행됐음에도 세계 어디에도 보고된 바 없다는 겁니다. 왜인지 모르겠지만 보안 업계의 그 누구도 나자르에 대해 말한 적이 없습니다.” 게레로사드가 강연을 통해 밝힌 내용이다.

게레로라사드는 자신의 블로그(https://www.epicturla.com/blog/the-lost-nazar)에 ‘잃어버린 나자르’라는 글을 게시하기도 했다. 여기에 따르면 나자르 캠페인에서 공격에 사용된 건 모듈 구성의 툴킷이었다고 한다. “가장 중요한 드로퍼의 경우, 사용자 몰래 다량의 DLL을 윈도우 레지스트리에 등록시키는 역할을 했습니다. 이 중 오케스트레이션 기능을 하는 요소가 있었는데, 이것 역시 레지스트리에 등록됨으로써 공격을 지속시킬 수 있는 기반이 되었습니다.”

드로퍼들은 이제는 잘 사용되지 않는 칠캣(Chilkat)이라는 소프트웨어로 구축되었다고 한다. 여기에 집투시큐어(Zip2Secure)라는 유틸리티를 사용해 자동 압축 해제 파일도 만들었다. 이런 식으로 설치된 멀웨어는 화면 캡쳐, 마이크로폰을 통한 녹음, 키로깅 등의 기능을 수행했으며, 시스템에 설치된 드라이브들과 폴더 구조를 목록화 하기도 했다.

공격자들은 커널 드라이버를 사용해 피해자의 기계 인터페이스로부터 패킷 스니핑도 실시했고, 특수 문자열을 분석하기도 했다. 하지만 정확히 어떤 문자열을 어떤 방식으로 확인했는지는 알 수 없다고 한다.

게레로사드는 “(셰도우 브로커스가 공개한)SIG37은 꽤나 진귀한 물건이자 파헤쳐볼 만한 가치가 있는 미스터리”라며 “(나자르처럼)이전에는 몰랐지만, 꽤나 관심일 둘 만한 과거의 사건들이 더 묻혀 있을지 모른다”고 블로그에 썼다. 그러면서 “다양한 데이터에 접근할 수 있는 위협 사냥꾼들이라면 이 거대한 빙산 역시 캐보면 좋을 것”이라고 권장하기도 했다.

NSA의 SIG37이란?
2017년 4월 14일, 셰도우 브로커스라는 해킹 그룹이 방대한 양의 해킹 툴을 공개했다. NSA가 다른 나라들을 해킹하는 데 사용한 도구라고 보이는 것들이었다. 이 중 현재까지 가장 널리 알려진 파일은 이터널블루(ETERNALBLUE)라는 것이다. 일종의 익스플로잇 도구로, 훗날 워너크라이(WannaCry)와 낫페트야(NotPetya)를 일으키는 주범이 된다.

그런데 이터널블루 말고도 많은 보안 전문가들을 사로잡은 파일이 하나 더 있었으니 바로 sigs.py라는 것이다. 각종 사이버 정찰 작전과 위협 첩보가 끝도 없이 보물처럼 숨겨져 있을 것이라는 소문이 무성한 파일이었다.

sigs.py 파일은 그 자체로는 간단한 멀웨어 스캐너일 것이라고 많은 사람들이 보고 있다. NSA가 미리 해킹한 컴퓨터에 심어두고 다른 APT 공격자들의 흔적이나 움직임을 간파하기 위해 사용되었을 가능성이 높다. 즉 APT 공격을 관찰하는 도구가 sigs.py였고, 이 때문에 수많은 공격 관련 정보들이 sigs.py 안에 묻혀서 발굴을 기다리고 있다는 것이다.

현재까지 밝혀진 바 sigs.py 안에는 44개의 시그니처들이 존재한다. 이 시그니처들이 해킹 툴을 탐지하는 기준이 된다. 각각의 시그니처들에는 번호가 붙어 있는데, 42번이 없어 1번부터 45번까지 있다. 이를 살핀 많은 보안 전문가들은 그 동안 자신들이 발견한 APT의 존재들이 NSA에 비하면 아무 것도 아닌 수준이라는 것을 깨달았다.

sigs.py가 세상에 모습을 드러내고 3년이 지난 오늘까지도 15개의 시그니처들이 그 주인을 찾지 못하고 있다. 하지만 NSA는 알고 있을 가능성이 높다. NSA가 민간 보안 업계에 비해 얼마나 방대한 정보망을 가지고 있으며, 얼마나 세계를 속속들이 들여다보고 있는지 알 수 있는 부분이다.

오늘 게레로사드가 발표한 건, sigs.py의 44개 시그니처 중 37번에 관한 것이었다. NSA만이 알고 있는 15개 중 하나는 아니었다. 여태까지 중국의 APT 그룹인 아이언 타이거(Iron Tiger)의 시그니처로 잘못 알려져 있던 것을, 이란과 관련이 있다고 짚은 것이었다. 15개는 여전히 베일에 둘러싸여 있다.

4줄 요약
1. 셰도우 브로커스가 공개한 NSA의 파일 덤프 중 SIG37이라는 것 있음.
2. 한 보안 전문가가 독자적으로 SIG37 파헤쳤더니, 과거에 알려지지 않은 사건이 나옴.
3. 꽤 오래된 사건이라 정확한 사건의 진상 알기 어렵지만, 이란과 관련이 있어 보임.
4. 이런 희귀하고 방대한 데이터 속에 또 어떤 미스터리가 묻혀 있을까.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>