Home > 전체기사
해킹팀, 다시 활동 시작했나? 14개국에서 새 샘플 발견
  |  입력 : 2018-03-13 11:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정부 기관과 은밀한 거래 통해 감시 툴 배포한 논란의 기업
2015년 유출 사고 있은 후 상대적으로 잠잠...최근 활동 재개?


[보안뉴스 문가용 기자] 논란의 보안 업체 해킹팀(Hacking Team)이 개발한 원격 통제 시스템(Remote Control System, RCS)이 다시 한 번 모습을 드러냈다. RCS는 해킹팀의 대표 상품이라고 할 수 있는 스파이웨어로, 이번에 발견된 건 이전 버전과 살짝 다르다고 한다.

[이미지 = iclickart]


이를 발견한 보안 업체 이셋(ESET)은 해킹팀에 대해 “2003년에 설립된 이탈리아의 스파이웨어 제조 업체”라고 설명한다. 또한 “세계 각국 정부 기관들을 상대로 감시 및 검열 툴을 판매해온 것으로 유명하다”고 덧붙이기도 했다. 해킹팀은 2015년 해킹을 당하며 내부 정보 400GB가 유출되기도 했는데, 이 때 비밀리에 관리됐던 고객 명단이 드러나 여러 정부가 홍역을 치루기도 했다.

하지만 2015년 해킹 사건 당시 유출된 건 고객 명단만이 아니었다. 주력 상품인 RCS의 소스코드도 함께 공개된 것이다. 이 때문에 여러 해커들이 RCS의 소스코드를 활용해 사이버 범죄를 저지르기도 했다.

이 사건의 충격이 워낙 컸기 때문에 해킹팀은 곧 해체될 것 같았다. 하지만 그런 일은 일어나지 않았다. 불과 6개월 후 새로운 스파이웨어가 등장하면서 이들이 여전히 활동하고 있음이 알려졌다. 심지어 키프로스에 있는 정체불명 회사인 태블럼 리미티드(Tablem Limited)로부터 대규모 투자를 받기도 했다. 후에 태블럼 리미티드는 사우디아라비아와도 연관성이 있는 곳으로 알려졌다.

한편 RCS는 백도어가 가질 수 있는 거의 모든 기능을 가지고 있는 툴이다. 표적이 된 기기로부터 파일을 추출하고, 이메일과 메시지를 가로채고, 원격에서 웹캠과 마이크를 실행해 사용자 감시도 실행할 수 있다.

이번에 이셋이 새롭게 발견한 RCS 샘플은 2015년 9월과 2017년 10월 사이에 컴파일링된 것으로, 추적 결과 RCS 소스코드를 활용한 잡다한 해킹 단체가 아니라 단 한 개의 그룹이 배후에 있음을 알 수 있었다고 한다. 이는 다름 아닌 해킹팀 그 자신이다. 또한 전혀 새로운 디지털 인증서로 서명도 되어 있었다고 한다. 이 인증서는 지버 리미티드(Ziber Ltd)라는 기업에 쏘트(Thawte)라는 곳에서 발행한 것이다.

새로운 RCS 샘플에는 위조된 마니페스트(Manifest) 메타데이터가 추가되어 있었다. 이 때문에 정상적인 애플리케이션처럼 보이며, VM프로텍트(VMProtect)까지 사용돼 멀웨어 탐지 툴을 우회하기까지 했다. “이는 해킹팀이 스파이웨어를 만들 때 자주 사용하는 기법이기도 합니다.” 이것이 해킹팀이 이번 샘플 개발에 직접 연루되어 있다는 첫 번째 단서다.

또 다른 단서는 ‘버전’이다. 이번에 발견된 RCS 샘플의 버전은 해킹팀이 유출 직전까지 유지했던 그 버전 시스템을 잇고 있다. 버전 번호를 붙이는 패턴도 동일하다고 한다. 여기에 더해 업데이트 방식 자체도 해킹팀의 코딩 유형과 상당히 흡사하며, 정량화된 수치를 제공할 순 없지만 업데이트한 자가 RCS 코드를 매우 잘 알고 있는 것으로 보인다고 이셋은 설명한다.

“원래 RCS를 개발한 해킹팀이 아닌 제3자가 유출된 코드와 정보만 학습해서 이 정도로 익숙하고 유사하게 업데이트를 진행했다는 게 잘 상상이 되지 않습니다. 버전 번호라는 디테일마저 원작자의 패턴을 따르다니요. 해킹팀이 여기에 관여했다고 보는 게 더 타당합니다.”

차이점도 있었다. 스타트업(Startup) 파일 크기가 조금 다르다. 유출이 있기 전 RCS 스타트업 파일의 크기는 4MB였고, 최근 발견된 샘플은 6MB다. 하지만 그 외 기능적인 측면에서는 완전히 동일한 스파이웨어다. PDF로 위장된 실행 파일을 통해 배포되고 있다는 것도 같다. “다른 RCS 어뷰징 사건과 달리 이번 샘플은 해킹팀의 개발자들이 직접 업데이트를 한 것이라고 이셋은 자신 있게 결론을 내릴 수 있었습니다.”

현재 이 새로운 샘플은 14개 국가에서 발견된 상태라고 이셋은 설명을 추가한다. 하지만 정부 기관들이 해킹팀과 새롭게 거래를 시작한 것인지, 혹은 누군가 해킹팀의 제품을 새롭게 활용하기 시작한 것인지가 확실치 않기 때문에 이셋은 아직 14개 국가명을 공개할 단계가 아니라고 판단했다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제