세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
트위터 하는 보안 전문가라면, @CNMF_VirusAlert 팔로우!
  |  입력 : 2018-11-09 13:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 사이버 사령부, 바이러스토탈 통해 멀웨어 샘플 공개하기 시작
아직 정보가 방대하진 않지만, 내용의 질은 높아...업계 기대감 높아져


[보안뉴스 문가용 기자] 미국 사이버 사령부(USCYBERCOM)가 바이러스토탈(VirusTotal)이라는 첩보 공유 플랫폼을 통해 이번 주 멀웨어 샘플을 민간 사이버 보안 업체들과 공유했다.

[이미지 = iclickart]


사이버 사령부는 바이러스토탈에 CYBERCOM_Malware_Alert라는 계정을 마련하고, 이를 통해 기밀이 아닌 것으로 분류된 멀웨어 샘플들을 계속해서 공개할 예정이다. 이는 사이버 사령부가 진행하고 있는 사이버 국가 임무군(Cyber National Mission Force, CNMF) 프로젝트의 일환이다.

이렇게 국가 정부 기관에서 멀웨어 정보를 정식으로 공유하고 나선 것은 의미가 제법 있는 일이다. 미국만이 아니라 여러 국가의 정보 및 첩보 기관은 국가 안보와 비밀 작전 수행을 위해 자신들이 발견하고 공개되지 않은 소프트웨어 취약점들을 공유하지 않은 채 자신들 안에서만 간직하고 있으며, 이는 지난 몇 년 동안 일어났던 NSA 해킹 사건을 통해 적나라하게 드러나기도 했다.

이렇게 국가 정보 기관이 민간 소프트웨어에서 발견한 취약점을 아무에게도 알리지 않는다는 것은 보안 업계 내의 큰 논란거리 중 하나다. 정보 공유를 위해 취약점을 발견하는 족족 공개하는 건 중국이나 북한, 이란, 러시아 등 움직임을 꽁꽁 감추는 나라와의 경쟁에서 불리한 위치에 스스로를 노출시키는 것이지만, 취약점을 알려주지 않아 민간 기업들이 위험한 상태에서 방비를 할 수 없다는 점도 사실이기 때문이다.

사이버 사령부는 CNMF를 통해 멀웨어 샘플 공유를 시작하면서 “민과 관 사이의 정보 공유가 얼마나 중요한 가치를 가지고 있는지 인지하고 있다”고 발표했다. 그러면서 “기밀이 아닌 멀웨어의 경우 샘플을 적극 공유함으로써 전 세계적인 사이버 보안 수준을 향상시키는 데 일조할 수 있을 것으로 기대한다”고 말했다. CNMF의 공식적인 목표는 “전 세계 보안 업계와의 정보 공유로 사이버 공격자가 발생시키는 피해를 최소화하는 것”이다.

사이버 사령부는 바이러스토탈을 통해 멀웨어 샘플을 공개할 때마다 이를 트위터로 알린다고 한다. 즉, 트위터를 팔로우하기만 하면 미국 사이버 사령부가 발표하는 멀웨어 정보를 즉각 접할 수 있다는 것이다. 트위터 계정은 USCYBERCOM Malware Alert(@CNMF_VirusAlert)다. 현재 3000명이 넘는 팔로워가 있다.

CNMF가 제일 처음 바이러스토탈을 통해 공개한 멀웨어는 로잭(Lojack 혹은 LoJax) 패밀리에 속한 것으로, 최근 러시아 정부와 관련이 있는 사이버 정찰 그룹인 소파시(Sofacy)가 실제 공격에 사용한 것으로 알려져 있다. 소파시는 APT28, 팬시 베어(Fancy Bear), 폰 스톰(Pawn Storm), 세드닛(Sednit), 스트론티움(Strontium)이라는 이름으로도 불린다.

샘플은 rpcnetp.exe와 rpcnetp.dll이라는 파일에 들어 있는데, 보안 업체인 이셋(ESET)이 최근 분석한 UEFI 루트킷과 관련이 있는 것으로 보인다. 이셋은 소파시가 중부 유럽 및 동유럽의 정부 기관들을 겨냥한 공격을 실시할 때 UEFI 루트킷이 사용된 것을 발견하고 추적하기 시작했다.

보안 업체 에얼리언볼트(AlienVault)의 연구원인 크리스 도만(Chris Doman)은 “아직까지 많은 샘플이 공개된 건 아니지만, 공개된 내용의 질이 뛰어나다”며 “이제 시작이긴 하지만 이 프로젝트가 꾸준히만 진행된다면 사이버 사령부의 바이러스토탈 계정이 보안 업계의 유용한 정보 진원지로 자리 잡을 수 있을 것으로 보인다”고 말했다.

다만 “공개된 파일들을 다운로드 받으려면 돈을 지불해야 한다”며 “바이러스토탈에서 유료 계정을 이미 보유한 전문가나 업체들에게는 큰 문제가 되지 않지만, 취미로 멀웨어를 분석하는 학생이나 새내기들에게는 큰 도움이 되지 않을 것”이라고 지적했다.

또 다른 보안 전문가인 자바드 말릭(Javvad Malik)은 “이 프로젝트 자체는 굉장한 의미의 첫 걸음”이라고 표현했다. “이런 정보는 많이 공유되면 될수록 방어에 도움이 됩니다. 또한 능동적으로 위협거리를 찾아 해결하는 식의 조치도 취할 수 있죠. 공격자들의 공격 비용을 높이기도 하고요. 사이버 사령부 외의 다른 정부 기관들도 이 선례를 따랐으면 합니다.”

3줄 요약
1. 정부 기관은 취약점을 자기들끼리만 알려고 한다는 논란 속에서 미국 사이버 사령부, 일부 멀웨어 샘플 공개 시작.
2. 처음 공개한 멀웨어는 러시아 공격자들이 사용한 것으로 알려진 로잭.
3. 한 가지 단점이 있다면 “바이러스토탈 유료 서비스” 형태로 제공된다는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)