세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
VPN필터, 알고 보니 더 무서운 공격이었다
  |  입력 : 2018-06-07 19:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존에 알려진 것보다 더 많은 장비 감염시킬 수 있어
3단계 공격에 활용되는 모듈 추가로 발견...다목적 봇넷으로 보여


[보안뉴스 문가용 기자] 최근 발견된 대형 사물인터넷 봇넷인 VPN필터(VPNFilter)가 알려진 것보다 더 광범위한 감염 범위를 가지고 있음이 밝혀졌다. 처음 발견됐을 때는 링크시스(Linksys), 넷기어(Netgear), 마이크로틱(MikroTik), TP-링크(TP-Link), 큐냅(QNAP) 등의 기기만 감염시키는 것으로 알려졌었는데, 분석을 더 해 보니 에이수스(ASUS), 화웨이(Huawei), D-링크(D-Link), ZTE의 제품들도 공격 당하고 있었다.

[이미지 = iclickart]


뿐만 아니라 VPN필터는 라우터나 NSA 류의 장비들만 감염시키는 것이 아니라, 라우터 및 NSA 뒷단에 있는 엔드포인트 장비들도 감염시키는 기능을 가지고 있는 것으로 나타났다. 처음에 이런 기능을 발견하지 못한 것이 아니라, 추가 모듈이 발견되면서 VPN필터 공격이 새로운 국면으로 접어든 것이다. 이번에 발견된 새 모듈은 악성 코드를 웹 트래픽에 주입하는 기능을 가지고 있었다.

최초로 VPN필터를 발견하고, 추가 분석 결과까지 발표한 시스코 탈로스 팀은 VPN필터 운영자가 공격의 흔적을 지울 수 있도록 해주는 추가 모듈 또한 발견할 수 있었다. 흔적을 지우는 원리는 간단했다. 바로 장비를 벽돌로 만들어버리는 것이다. 아예 작동을 하지 않도록 함으로써 VPN필터에 대한 추적을 방해할 수 있었다고 한다.

보안 업체 주니퍼 네트웍스(Juniper Networks)의 전문가인 무니르 하하드(Mounir Hahad)는 “라우터나 NSA 장비만 감염시키는 것만으로도 충분히 위협적이었는데, 엔드포인트까지도 공격 범위 안에 있다니, 할 말을 잃게 만든다”고 말한다. “공격자들이 원하는 정보가 있다면 사실 다 빼낼 수 있다는 의미가 됩니다.”

한편 모듈 구조를 가진 멀웨어라는 점에서 러시아의 정부 지원 해커 부대인 APT28이 연상된다고 전문가들은 말한다. 탈로스 팀은 VPN필터가 모듈 구조로 되어 있기 때문에 다양한 형태의 응용이 가능하다며, “첩보 수집, 디도스 공격, 표적형 공격 감추기, 파괴 공격 등”이 여기에 포함된다고 말했다. “게다가 현재까지 감염된 기기는 54개국에서 발견됐습니다. 거의 대부분은 우크라이나에 있고요. 러시아가 떠오를 수밖에 없는 대목입니다.”

VPN필터와 다른 사물인터넷 멀웨어의 가장 큰 차이점은 1단계 감염용 요소가 기기 재부팅으로 없어지지 않는다는 것이다. 또한 이 ‘사라지지 않는’ 1단계 모듈은 다양한 방법을 동원해 2단계 요소를 다운로드 받는다. 특이한 1단계 요소와 달리 2단계 요소는 평범한 데이터 수집 기능을 수행하는 듯 하지만, 역시나 독특한 점을 가지고 있다. 바로 자기 파괴 기능이다. 이를 가지고 감염시킨 기기의 펌웨어를 파괴하는 것도 가능하다는 게 탈로스의 분석 결과다. VPN필터 공격자가 지금 당장이라도 마음만 먹으면 수만 명의 사람들을 갑자기 오프라인 상태로 만들 수 있다는 뜻이다.

여기에 3단계 공격에 사용되는 모듈들도 존재한다. 이 모듈들을 장착함으로써 멀웨어의 기능은 크게 바뀔 수 있다. 시스코 탈로스 팀이 여태까지 발견한 것만 해도 웹 크리덴셜 탈취용 패킷 스니퍼, SCADA 프로토콜 모니터링 모듈, 토르를 통한 통신 모듈 등이 있었다.

2단계와 3단계 공격에 사용되는 모듈들은 전부 기기 리부팅과 함께 사라진다. 그러나 1단계 요소가 사라지지 않기 때문에, 리부팅을 통해 공격을 막는다 하더라도 일시적일 뿐이다. 시스코 탈로스 팀의 디렉터인 크레이그 윌리엄즈(Craig Williams)는 “공격이 언제고 다시 시작할 수 있다”며 “안심할 수 없다”고 말한다. “또한 최근 엔드포인트에 익스플로잇을 직접 설치하는 모듈까지 발견된 마당에, 사실상 공격자들이 할 수 없는 일이 없다고 봐야 합니다. 비밀번호 훔치고, 암호화폐를 채굴하고, 소프트웨어를 설치하는 등 온갖 행위를 할 수 있습니다.”

보안 업체 코레로 네트워크 시큐리티(Corero Network Security)의 CEO인 애슐리 스티븐슨(Ashley Stephenson)은 “VPN필터에 대해 새롭게 발견된 것들을 봤을 때 VPN필터라는 인프라 자체가 스파잉, 파괴, 탈취 등 다양한 목적을 위해 만들어진 것으로 여겨진다”고 말한다. “이렇게 고도로 발전된 멀웨어는 국가 간 사이버전에서 흔히 발견되는 것이며, 일반적인 사이버 범죄자들로서는 이런 공격을 하기가 힘듭니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)