해킹팀, 다시 활동 시작했나? 14개국에서 새 샘플 발견

정부 기관과 은밀한 거래 통해 감시 툴 배포한 논란의 기업
2015년 유출 사고 있은 후 상대적으로 잠잠...최근 활동 재개?

[보안뉴스 문가용 기자] 논란의 보안 업체 해킹팀(Hacking Team)이 개발한 원격 통제 시스템(Remote Control System, RCS)이 다시 한 번 모습을 드러냈다. RCS는 해킹팀의 대표 상품이라고 할 수 있는 스파이웨어로, 이번에 발견된 건 이전 버전과 살짝 다르다고 한다.

[이미지 = iclickart]

이를 발견한 보안 업체 이셋(ESET)은 해킹팀에 대해 “2003년에 설립된 이탈리아의 스파이웨어 제조 업체”라고 설명한다. 또한 “세계 각국 정부 기관들을 상대로 감시 및 검열 툴을 판매해온 것으로 유명하다”고 덧붙이기도 했다. 해킹팀은 2015년 해킹을 당하며 내부 정보 400GB가 유출되기도 했는데, 이 때 비밀리에 관리됐던 고객 명단이 드러나 여러 정부가 홍역을 치루기도 했다.

하지만 2015년 해킹 사건 당시 유출된 건 고객 명단만이 아니었다. 주력 상품인 RCS의 소스코드도 함께 공개된 것이다. 이 때문에 여러 해커들이 RCS의 소스코드를 활용해 사이버 범죄를 저지르기도 했다.

이 사건의 충격이 워낙 컸기 때문에 해킹팀은 곧 해체될 것 같았다. 하지만 그런 일은 일어나지 않았다. 불과 6개월 후 새로운 스파이웨어가 등장하면서 이들이 여전히 활동하고 있음이 알려졌다. 심지어 키프로스에 있는 정체불명 회사인 태블럼 리미티드(Tablem Limited)로부터 대규모 투자를 받기도 했다. 후에 태블럼 리미티드는 사우디아라비아와도 연관성이 있는 곳으로 알려졌다.

한편 RCS는 백도어가 가질 수 있는 거의 모든 기능을 가지고 있는 툴이다. 표적이 된 기기로부터 파일을 추출하고, 이메일과 메시지를 가로채고, 원격에서 웹캠과 마이크를 실행해 사용자 감시도 실행할 수 있다.

이번에 이셋이 새롭게 발견한 RCS 샘플은 2015년 9월과 2017년 10월 사이에 컴파일링된 것으로, 추적 결과 RCS 소스코드를 활용한 잡다한 해킹 단체가 아니라 단 한 개의 그룹이 배후에 있음을 알 수 있었다고 한다. 이는 다름 아닌 해킹팀 그 자신이다. 또한 전혀 새로운 디지털 인증서로 서명도 되어 있었다고 한다. 이 인증서는 지버 리미티드(Ziber Ltd)라는 기업에 쏘트(Thawte)라는 곳에서 발행한 것이다.

새로운 RCS 샘플에는 위조된 마니페스트(Manifest) 메타데이터가 추가되어 있었다. 이 때문에 정상적인 애플리케이션처럼 보이며, VM프로텍트(VMProtect)까지 사용돼 멀웨어 탐지 툴을 우회하기까지 했다. “이는 해킹팀이 스파이웨어를 만들 때 자주 사용하는 기법이기도 합니다.” 이것이 해킹팀이 이번 샘플 개발에 직접 연루되어 있다는 첫 번째 단서다.

또 다른 단서는 ‘버전’이다. 이번에 발견된 RCS 샘플의 버전은 해킹팀이 유출 직전까지 유지했던 그 버전 시스템을 잇고 있다. 버전 번호를 붙이는 패턴도 동일하다고 한다. 여기에 더해 업데이트 방식 자체도 해킹팀의 코딩 유형과 상당히 흡사하며, 정량화된 수치를 제공할 순 없지만 업데이트한 자가 RCS 코드를 매우 잘 알고 있는 것으로 보인다고 이셋은 설명한다.

“원래 RCS를 개발한 해킹팀이 아닌 제3자가 유출된 코드와 정보만 학습해서 이 정도로 익숙하고 유사하게 업데이트를 진행했다는 게 잘 상상이 되지 않습니다. 버전 번호라는 디테일마저 원작자의 패턴을 따르다니요. 해킹팀이 여기에 관여했다고 보는 게 더 타당합니다.”

차이점도 있었다. 스타트업(Startup) 파일 크기가 조금 다르다. 유출이 있기 전 RCS 스타트업 파일의 크기는 4MB였고, 최근 발견된 샘플은 6MB다. 하지만 그 외 기능적인 측면에서는 완전히 동일한 스파이웨어다. PDF로 위장된 실행 파일을 통해 배포되고 있다는 것도 같다. “다른 RCS 어뷰징 사건과 달리 이번 샘플은 해킹팀의 개발자들이 직접 업데이트를 한 것이라고 이셋은 자신 있게 결론을 내릴 수 있었습니다.”

현재 이 새로운 샘플은 14개 국가에서 발견된 상태라고 이셋은 설명을 추가한다. 하지만 정부 기관들이 해킹팀과 새롭게 거래를 시작한 것인지, 혹은 누군가 해킹팀의 제품을 새롭게 활용하기 시작한 것인지가 확실치 않기 때문에 이셋은 아직 14개 국가명을 공개할 단계가 아니라고 판단했다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)