천하의 카스퍼스키가 해킹을 당했다고? 두쿠 2.0

2~3년 만에 돌아온 두쿠 멀웨어, 이번엔 높은 수준의 업그레이드

카스퍼스키 해킹 사건이 주는 여러 가지 우려들

[보안뉴스 문가용] 여러 사이버 스파이 집단과 멀웨어를 잡아내기로 유명한 카스퍼스키가 이번엔 공격을 당했다. 카스퍼스키의 회사 네트워크로 들어온 멀웨어를 통해 공격자들은 카스퍼스키의 최신 감지기술과 연구 자료에 대한 정보를 가로채 간 것으로 보인다.

카스퍼스키는 오늘 자신들의 네트워크로 들어온 두쿠(Duqu)라는 멀웨어를 분석한 내용을 공개했다. 두쿠라는 이름을 가진 멀웨어 자체는 2011년 처음 발견되었으며 특히 이란 핵 시설을 겨냥한 스턱스넷 공격과 일정 부분 연관이 있는 것으로 보인다. 이번에 카스퍼스키 내부로 침투한 이 오래된 멀웨어는 카스퍼스키가 가진 사이버 보안 기술력과 노하우를 겨냥했으며, 무엇보다 엄청난 하이테크 기술력을 갖춘 채 등장했다고 한다.

카스퍼스키 측은 정확히 이름을 대거나 지목하지는 않았지만 두쿠의 배후에 정부가 있다는 뉘앙스를 내비쳤다. 사실이라면 이는 국가가 행하는 사이버전에서의 중요한 변화를 나타낸다. 국가가 일개 보안 회사를 노린다는 건 극히 드문 일이기 때문이다. 물론 사상 최초라고 할 만한 일은 아니다. 지난 2011년 RSA와 2013년 Bit9이 국가의 공격을 받은 적이 있다. 아직도 정확하게 물증이 잡히진 않았지만 중국이 가장 유력한 용의자로 남아있다.

하지만 이 둘의 경우는 보안 회사의 고객들을 노리기 위한 공격으로 보안 회사 자체가 공격의 핵심 타깃은 아니었다. 그런 의미에서 카스퍼스키를 국가가 공격했다는 건 남다른 의미를 가지고 있는 것이다. 또한 고객들을 보호할 수 있는 당대 최후의 방어법을 갖추고 있다고 여겨지는 곳이 누군가에 의해 뚫렸다는 것 자체도 시사 하는 바가 적지 않다.

카스퍼스키를 공격한 두쿠 2.0을 분석한 건 카스퍼스키 외에 시만텍, 파이어아이, 트렌드마이크로 등 이 분야에서는 잔뼈가 굵은 기업들인데, 아직 두쿠로부터 공격을 받은 건 카스퍼스키가 유일하다.

카스퍼스키의 CEO인 유진 카스퍼스키(Eugene Kaspersky)는 두쿠 2.0에 대해 “수준이 정말 높은 공격”이라며 “내 평생 이런 건 듣도보도 못했다”고 설명했다. “국가가 배후에 있는 해킹 공격 중에서도 으뜸이며, 어지간해선 눈에 보이지도 않습니다. 제작자와 사용자가 누구인지 몰라도 기술적으로는 시대를 뛰어넘었습니다.”

하지만 카스퍼스키는 고객이나 파트너 업체들은 무사하다고 거듭 강조했다. 또한 카스퍼스키 역시 기업비밀이나 금융정보를 노출시키진 않았다고 했다. 그저 카스퍼스키가 개발하고 있는 시큐어OS나 프로드디텍션(Fraud Detection), 시큐리티 네트워크 (Security Network), 안티API 제품과 서비스의 신기술들만을 일부 가져가는 데 성공했다는 것. “사이버 보안 전문회사를 공격하는 건 어리석은 일입니다. 언젠가는 분명히 추적해서 잡아내는 게 저희들 일이니까요. 시간이 걸리긴 하지만.”

두쿠 2.0이 노린 건 카스퍼스키만이 아니다. 서유럽, 동남아, 러시아, 아시아 등 100개 정도의 피해자 혹은 피해기업이 있는 것으로 밝혀졌다. 그리고 이들 중 몇몇은 현재 진행되고 있는 이란 핵 협상과 관련이 있는 곳이다. 그밖에 유럽과 미국의 대형 통신사들, 동남아시아의 전자장비 생산자, 미국과 영국, 스웨덴, 인도, 홍콩에 있는 일부 기기들에서 두쿠 2.0이 나타났다. 이중에서 대형 통신사들과 제조사들은 그 회사 자체보다 고객을 노린 ‘발판’의 역할을 했을 것으로 보인다.

기술적인 측면에서 두쿠 2.0이 왜 그토록 ‘발전된’ ‘고급형’ ‘차세대’인 것인지, 어떤 면에서 그토록 큰 차별성이 있는 것인지는 두쿠 2.0의 독특한 ‘숨기’ 메커니즘을 살펴보면 알 수 있다. 두쿠 2.0의 코드는 전부 시스템의 메모리 내에서만 처리되며 하드드라이브 내 남겨진 모든 흔적을 깨끗이 지운다. 그래서 피해자가 컴퓨터를 껐다가 다시 시작할 경우 감염 역시 전부 사라진다. 그러나 컴퓨터의 리부팅 이후 다시 한 번 침투가 필요할 때 원격에서 기기를 반복해 감염시킬만한 방법도 가지고 있다. 멀웨어와 흔히 짝을 이루는 C&C 서버와의 연계성 없이 말이다.

시만텍의 수석 보안대응책임자인 비크람 타쿠르(Vikram Thakur)는 이번 공격이 역사의 한 획을 그을 정도의 획기적이고 전혀 새로운 해킹이라고 정의한다. “보안 회사가 공격당하는 건 어제 오늘의 일이 아니지요. 저희 시만텍도 매일 엄청난 공격을 받습니다. 그럼에도 이번에 카스퍼스키가 당한 공격은 전혀 새로운 것이라고 확언할 수 있습니다. 왜냐하면 보안 회사가 가지고 있는 기술력을 직접 노린 건 이번이 처음이거든요.”

“그 말은 즉 보안 회사가 자기 발등의 불도 꺼야할 필요가 생겼다는 걸 뜻합니다. 남의 뒤만 봐줄 수 없을 때가 시작되었다는 것이죠. 여태까지는 저희가 사이버 범죄인들을 쫓는 사냥꾼의 역할을 했었다면 이제 사이버 범죄인들이 저희의 사냥 방법 자체를 먼저 꿰뚫어보고 유유히 도망치는 방법을 사용하기 시작했다는 뜻이 될 수도 있습니다. 사냥꾼이라고 해서 저희가 압도적으로 유리한 것도 아니었는데, 이제 우리의 속사정이 훤히 드러나게 생겼으니 이게 작은 사건이 결코 아닙니다.”

카스퍼스키와 시만텍 측은 정확한 국가의 이름을 어디에서도 발설하지 않고 있지만 업계 다른 전문가들은 눈을 이스라엘로 돌리고 있다. 월등히 앞선 기술력, 이란 핵 협상과의 연관성이 이런 추측을 가능하게 하기 때문이다.

유진 카스퍼스키 CEO는 “공격자가 누구인지 모르겠지만 우리 회사에 대해 많은 공부를 하고 자료를 조사한 게 틀림없어 보입니다. 아마 지금도 감시를 하고 있을 겁니다. 특히 저희의 백신 기술이나 분석 자료를 위주로요. 또 저희의 특별한 멀웨어 감지 노하우도 찾고 있겠죠”라고 자신의 의견을 밝혔다.

카스퍼스키는 두쿠 2.0의 기술적인 내용들도 함께 공개했다. 그에 따르면 두쿠 2.0은 세 가지 제로데이 취약점을 공략하고 있는데 이 중 하나는 지난 화요일 MS가 패치를 한 것으로 정식 명칭은 CVE-2015-2360이다. 나머지 두 개는 CVE-2014-6324와 아직 밝혀지지 않은 취약점이라고 한다. “아직까지 이 세 번째 버그는 미스터리입니다. 공격자가 피해자의 브라우저 히스토리와 인박스를 죄다 지웠거든요. 그래서 최초 공격이 어떻게 이루어졌는지 알 수가 없습니다.”

“예상하기로는 굉장히 고급화되고 맞춤화된 스피어피싱 공격이었을 것 같습니다. 거기에는 악성 웹사이트 링크가 있었던 것으로 보고요. 아마 CVE-2014-4148 정도가 제일 가까운 버그가 아닐까 합니다.” 이는 카스퍼스키의 최고보안분석가인 커트 봄가트너(Kurt Baumgartner)의 설명이다.

미스터리한 첫 번째 취약점을 통해 공격의 첫 단추를 끼운 후에는 두 번째 버그가 악용된 것으로 보인다. 권한이 없는 도메인 사용자에게 도메인 관리자 권한을 주게 해주는 버그가 바로 그것이다. 그 다음 버그는 CVE-2015-2360으로 위에서 언급했다시피 MS가 이번 주에 패치를 완료한, 윈도우 버그였다. 이를 익스플로잇 하면 공격자가 마음대로 프로그램을 설치하고 데이터를 열람할 뿐 아니라 변경시킬 수도 있게 된다. 또한 권한이 높은 새로운 사용자 계정을 만드는 것도 가능하다.

두쿠 2.0은 최소 수 개월 동안 카스퍼스키 내에 잠복해 있던 것으로 보인다. 하필이면 카스퍼스키가 안티APT 제품을 실험하고 있던 때였다. 두쿠 2.0은 MS의 소프트웨어 인스톨러처럼 위장해 일단 눈으로 보기에는 전혀 파악할 수 없도록 설계되었기 때문에 알아볼 수가 없었다. “두쿠 2.0의 공격자들은 자신들의 트래픽을 보통의 정상적인 커뮤니케이션들과 섞어 놓았습니다. 그래서 감지를 더 어렵게 만들어 놓았죠.”

하지만 카스퍼스키의 지적재산 일부가 노출되었다고 해서 카스퍼스키의 제품 질이 떨어지는 건 아니라고 거듭 강조했다. 제품의 메커니즘이 노출되었을지는 몰라도 그걸 만드는 과정에서는 어떠한 방해도 없었기 때문이라는 것. 문제는 이 일이 앞으로 보안업계에서 계속해서 반복될 경우다.

“한 나라가 일개 사설 기업을 공격했다는 것 자체로도 여러 가지 의미가 있지만 이는 국가와 국가 간 신뢰를 깎는 일이기도 합니다. 그게 제일 우려되는 일입니다. 현재 여러 경찰 수사 기관들은 나라와 나라를 막론하고 경계를 넘어 서로 어떻게 더 잘 힘을 모을 수 있을까 고민하는데, 이런 공격이 자꾸만 등장할 경우 상대 국가에 대한 신뢰도가 낮아져 국제수사가 만족스럽게 이루어지지 않을 가능성이 높거든요.” 부다페스트 대학의 볼다이자르 벤차스(Boldizsar Benscath) 교수의 설명이다.

하지만 그런 우려를 불식시켰던 게 이번 카스퍼스키의 행동이라고 벤차스 교수는 곧바로 이어서 설명했다. “두쿠 2.0에 대한 보고서를 발간했다는 건 자신들의 네트워크에 대한 고객들의 불신이나 여태까지 쌓아왔던 업적을 스스로 낮출 지도 모를 길을 선택한 것이죠. 정말 용기 있는 행동이었다고 봅니다.”

카스퍼스키에서는 이번 공격과 이퀘이젼 그룹(Equation Group) 간의 관계에 대해서는 아직 발견한 바가 없다고 한다. “두쿠 2.0과 스턱스넷 사이에 관계가 있어 보이긴 합니다. 하지만 과거에 국한된 관계라고 보이며, 현재 둘은 완전히 갈라선 것으로 판단됩니다. 저희가 조사한 바 두쿠 2.0과 이퀘이젼 그룹에게 동시에 공격받은 피해자도 있었습니다. 그 두 그룹이 지금은 독립적인 길을 걷고 있다는 의미지요.”

한편 두쿠 2.0은 여전히 넷 상에서 활동 중이다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)