Home > 전체기사

독일의 스파이웨어 핀스파이, 2018년부터 사라진 진짜 이유는

  |  입력 : 2021-09-29 16:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
논란의 스파이웨어 중 하나인 핀스파이의 분석이 끝이 났다. 장장 8개월이 걸렸는데, 그 이유는 핀스파이가 워낙 두껍게 보호막을 치고 있었기 때문이다. 핀스파이는 정부와 사법 기관들에 은밀히 유통되는 스파이웨어로, 2018년부터 보안 업계에서는 사라진 걸로 알려져 있었다.

[보안뉴스 문가용 기자] 독일의 기업인 핀피셔(FinFisher)가 판매하는 악명 높은 스파이웨어인 핀피셔 혹은 핀스파이(FinSpy)가 4단계 난독화 기능을 탑재한 채 판매되고 있다는 사실이 밝혀졌다. 보안 업체 카스퍼스키(Kaspersky)가 장장 8개월 동안 분석한 결과다. 대부분의 합법적인 스파이웨어가 그렇긴 하지만, 핀스파이 역시 주로 정부 기관이나 사법 기관들에 비밀리에 판매되는 것으로 윈도, 맥OS, 리눅스용이 제각각 존재한다.

[이미지 = utoimage]


카스퍼스키에 의하면 핀피셔는 난독화만 4단계로 두르고 있는 게 아니라고 한다. UEFI라는 부트킷을 사용해 피해자 장비를 감염시키고 멀웨어를 메모리 내에서 암호화시킬 수도 있다고 한다. “핀스파이는 카스퍼스키가 그 동안 분석해 온 그 어떤 멀웨어보다 복잡했습니다. 개발자들이 핀스파이를 숨기고 포렌식에 걸리지 않으려고 얼마나 많은 노력을 기울였는지가 절로 느껴졌습니다.” 카스퍼스키의 이고 쿠즈네초프(Igor kuznetsov)의 설명이다.

이는 꽤나 큰 발견이다. 왜냐하면 그 동안 보안 업계에서는 핀스파이가 2018년 이후 사라졌다고 보고 있었기 때문이다. 핀스파이는 악명이 높았기 때문에 국제사면위원회 등과 같은 세계적인 인권 단체들도 항상 지켜보고 있었다. 두터운 난독화와 분석 방해 기능을 탑재하고 있었다면 그 동안 핀스파이가 사라진 게 아니라 들키지 않았을 뿐이라는 가능성이 농후해진다.

카스퍼스키가 8개월 동안 리버스 엔지니어링을 해 알아낸 것에 의하면 핀스파이는 제일 먼저 공격 대상이 되는 장비가 보안 전문가나 조직의 것인지 아닌지부터 알아낸다고 한다. 이 단계의 확인을 거치고 나서야 피해 장비의 주인이 원래부터 공격자(핀스파이 사용자)가 노리던 인물 혹은 단체인지를 확인하기 시작한다. 표적이 맞는다면 스파이웨어 플랫폼을 설치한다.

설치한 플랫폼에서부터 핀스파이는 각종 정보를 수집하기 시작한다. 크리덴셜, 파일 목록, 삭제된 파일, 문서, 라이브 스트리밍 데이터, 녹음/녹화 데이터, 웹캠 및 마이크로폰 데이터 등이다. 또한 브라우저의 개발자 모드를 발동시켜 HTTPS 트래픽을 가로채기도 한다. “핀스파이는 사용자의 암호화 키들도 전부 훔쳐냅니다. 그렇기 때문에 트래픽이 암호화 된 채로 나가거나 들어와도 공격자들에게는 큰 문제가 되지 않습니다.”

핀스파이는 모든 스텔스 멀웨어가 그렇듯 메모리 내에서 실행된다. 디스크에 흔적을 남기지 않는다. 또한 멀웨어 자체도 암호화가 되어 있어 일반적으로는 탐지가 어렵다. “포렌식을 하여 라이브 메모리 이미지를 만들어도 나타나지 않습니다. 사실 멀웨어를 찾아낸다는 게 거의 불가능에 가깝습니다.” 이렇게 난독화와 암호화 기능을 전부 ‘두텁게’ 보유하고 있는 경우는 매우 드물다고 카스퍼스키는 강조했다.

카스퍼스키가 찾아낸 피해자들의 이름에 대해서는 아직 밝히기가 어렵다고 한다. 공격자들로 보이는 후보들이나 나라, 공격의 동기 또한 아직 명확히 공개하기는 힘들다는 입장이다. “다만 피해자들 전부 고도의 표적 공격에 당한 것은 확실합니다. 또한 누군가 공격에 억울하게 휘말린 경우도 없습니다. 공격자가 네트워크 내에서 횡적으로 움직인 것도 아니고, 정확히 목표한 사용자와 장비를 찾아낸 것으로 보입니다.”

아직 핀스파이가 정확히 어떤 방법을 사용해 피해자의 장비를 감염시키는지는 아직 알려지지 않았다. 그러나 물리적 접근이나 관리자 계정을 통한 접근도 어느 정도 의심이 되는 상황이라고 쿠즈네초프는 설명한다. “피해자들 전부 1단계 감염용 멀웨어를 다운로드 받아 설치했다는 공통점을 가지고 있는데, 그 1단계 멀웨어의 감염 경로가 아직 확실하지 않습니다.”

다행인 건 핀스파이가 설치되는 걸 막기 위한 여러 가지 방법들이 존재한다는 것이다. 카스퍼스키는 다음과 같은 것들을 권장한다.
1) 소프트웨어를 항상 최신화 한다.
2) 소프트웨어를 항상 신뢰할 수 있는 출처에서 받는다.
3) 수상한 첨부파일은 열지 않고 링크도 클릭하지 않는다.
4) 강력한 암호를 설정하여 관리한다.
5) 보안 교육 프로그램에 관심을 갖고 참여한다.

3줄 요약
1. 독일의 스파이웨어 핀스파이, 2018년부터 사라진 줄 알았더니...
2. 최근 발견된 버전은 4단계 난독화와 각종 암호화 기술로 보호되어 있음.
3. 기본적인 보안 수칙 지키는 것이 핀스파이 방어의 핵심.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)