2016.08.18

"NSA 데이터에서 고도의 지능적인 해킹 툴 발견했다"...뉴욕공대 교수

Michael Kan | IDG News Service
보안 연구원들이 NSA(National Security Agency)에서 나왔다고 하는 파일들 속에서 지능적인 해킹 툴이 포함되어 있음을 발견했다. 이 연구원들은 이 툴은 해킹만 하는 게 아니라 자신을 숨기는 데 고도로 지능적인 수준이라고 밝혔다.



이 데이터 속에 있는 악성코드는 기기의 펌웨어 속에 침입해 운영체제를 재설치하더라도 지속적으로 유지할 수 있는 특징을 갖고 있다. 뉴욕공과대학 조교수 브렌단 돌란-가비트는 "이는 기술적 역량이 전문적이고 심각한 수준임을 보여줬다"고 말했다.

돌란-가비트는 연구원들과 함께 자칭 섀도우 브로커스(Shadow Brokers)라 말하는 불특정 그룹이 온라인 상에 올린 데이터 속의 견본 파일들을 철저히 검사했다.

섀도우 브로커스가 주장한 바에 따르면, 이 파일들은 NSA와 연관이 있을 지 모르는 최고의 사이버첩보팀인 이퀘이전 그룹에서 훔친 것이다. 이퀘이전 그룹은 악명높은 스턱스넷 웜을 개발하는 데 도움을 준 것으로 보이며, 일단 설치되면 제거하기 불가능한 악성코드를 만드는 역량을 보유하고 있다.

이미 연구원들은 이 견본 파일 속에서 방화벽과 라우터 제품을 표적으로, 보고된 적이 없는 소프트웨어 결함을 악용하는 제로데이 취약점을 사용하는 이 해킹 툴을 발견했다. 시스코는 17일 견본 파일 속에서 자사의 방화벽 소프트웨어에 영향을 주는, 알려지지 않은 결함이 있음을 확인하고 이를 위한 패치를 발표했다.

주니퍼 네트웍스(Juniper Networks)를 포함한 영향을 받은 다른 벤더들은 여전히 연구중이며, 패치는 곧 이뤄질 것으로 보인다. 리스크베이스드시큐리티 책임자 브라이언 마틴은 중국 방화벽 제공업체인 톱섹(Topsec)의 제품 또한 제로데이 취약점을 갖고 있다고 말했다.

마틴은 "그러나 이번 해킹은 연구원들이 초기에 우려했던 것만큼 위험스러운 것이 아닐지 모른다. 예를 들어 이 견본 데이터 속의 익스플로잇들은 방화벽의 인터페이스에 직접 접속하도록 되어 있어 외부 인터넷 사용자에게는 제한적임을 발견했다"고 설명했다. 마틴은 "이 익스플로잇들은 여전히 유용하다. 그러나 사람들이 두려워할 만큼은 아니다"고 덧붙였다.

돌란-가비트는 "그렇기는 하지만 이 해킹 툴은 개발하기가 쉽지 않았을 것이다. 또한 견본 파일 속에는 바이오스(BIOS)라 불리는 컴퓨터 펌웨어를 표적으로 할 수 있는 악성코드의 한 조각이 포함되어 있었다"고 말했다.

돌란-가비트는 "바이오스는 시스템을 부팅할 때 실행하는 첫번째 코드이며 그래서 모든 것을 제어할 수 있다"고 말했다. 그 결과 악성코드가 바이오스에 설치되면 해당 컴퓨터의 운영체제를 재설치한다고 해도 지속적으로 유지될 수 있다. 이것들은 한 컴퓨터의 네트워크 트래픽과 새로운 데이터를 주입하는 등 첩보활동을 하는데 특히 유용하게 쓰일 수 있다.

그러나 악성코드를 개발하기 위해서는 제작자들은 하드웨어에 대한 상세한 지식을 필요로 한다. 돌란-가비트는 "보통 악성코드 제작자들은 공공리에 유용할 수 있는 것을 만들지 못한다. 그래서 제작자들은 역공학(reverse-engineering)에 의존하곤 한다"고 말했다.

이번 바이오스 악성코드는 시스코 제품에 영향을 주는 것이지만, 시스코는 이미 자체 안전 부팅(Secure Boot) 시작 프로세스를 통해 이번 문제에 대해 패치를 했다고 말했다. editor@itworld.co.kr


2016.08.18

"NSA 데이터에서 고도의 지능적인 해킹 툴 발견했다"...뉴욕공대 교수

Michael Kan | IDG News Service
보안 연구원들이 NSA(National Security Agency)에서 나왔다고 하는 파일들 속에서 지능적인 해킹 툴이 포함되어 있음을 발견했다. 이 연구원들은 이 툴은 해킹만 하는 게 아니라 자신을 숨기는 데 고도로 지능적인 수준이라고 밝혔다.



이 데이터 속에 있는 악성코드는 기기의 펌웨어 속에 침입해 운영체제를 재설치하더라도 지속적으로 유지할 수 있는 특징을 갖고 있다. 뉴욕공과대학 조교수 브렌단 돌란-가비트는 "이는 기술적 역량이 전문적이고 심각한 수준임을 보여줬다"고 말했다.

돌란-가비트는 연구원들과 함께 자칭 섀도우 브로커스(Shadow Brokers)라 말하는 불특정 그룹이 온라인 상에 올린 데이터 속의 견본 파일들을 철저히 검사했다.

섀도우 브로커스가 주장한 바에 따르면, 이 파일들은 NSA와 연관이 있을 지 모르는 최고의 사이버첩보팀인 이퀘이전 그룹에서 훔친 것이다. 이퀘이전 그룹은 악명높은 스턱스넷 웜을 개발하는 데 도움을 준 것으로 보이며, 일단 설치되면 제거하기 불가능한 악성코드를 만드는 역량을 보유하고 있다.

이미 연구원들은 이 견본 파일 속에서 방화벽과 라우터 제품을 표적으로, 보고된 적이 없는 소프트웨어 결함을 악용하는 제로데이 취약점을 사용하는 이 해킹 툴을 발견했다. 시스코는 17일 견본 파일 속에서 자사의 방화벽 소프트웨어에 영향을 주는, 알려지지 않은 결함이 있음을 확인하고 이를 위한 패치를 발표했다.

주니퍼 네트웍스(Juniper Networks)를 포함한 영향을 받은 다른 벤더들은 여전히 연구중이며, 패치는 곧 이뤄질 것으로 보인다. 리스크베이스드시큐리티 책임자 브라이언 마틴은 중국 방화벽 제공업체인 톱섹(Topsec)의 제품 또한 제로데이 취약점을 갖고 있다고 말했다.

마틴은 "그러나 이번 해킹은 연구원들이 초기에 우려했던 것만큼 위험스러운 것이 아닐지 모른다. 예를 들어 이 견본 데이터 속의 익스플로잇들은 방화벽의 인터페이스에 직접 접속하도록 되어 있어 외부 인터넷 사용자에게는 제한적임을 발견했다"고 설명했다. 마틴은 "이 익스플로잇들은 여전히 유용하다. 그러나 사람들이 두려워할 만큼은 아니다"고 덧붙였다.

돌란-가비트는 "그렇기는 하지만 이 해킹 툴은 개발하기가 쉽지 않았을 것이다. 또한 견본 파일 속에는 바이오스(BIOS)라 불리는 컴퓨터 펌웨어를 표적으로 할 수 있는 악성코드의 한 조각이 포함되어 있었다"고 말했다.

돌란-가비트는 "바이오스는 시스템을 부팅할 때 실행하는 첫번째 코드이며 그래서 모든 것을 제어할 수 있다"고 말했다. 그 결과 악성코드가 바이오스에 설치되면 해당 컴퓨터의 운영체제를 재설치한다고 해도 지속적으로 유지될 수 있다. 이것들은 한 컴퓨터의 네트워크 트래픽과 새로운 데이터를 주입하는 등 첩보활동을 하는데 특히 유용하게 쓰일 수 있다.

그러나 악성코드를 개발하기 위해서는 제작자들은 하드웨어에 대한 상세한 지식을 필요로 한다. 돌란-가비트는 "보통 악성코드 제작자들은 공공리에 유용할 수 있는 것을 만들지 못한다. 그래서 제작자들은 역공학(reverse-engineering)에 의존하곤 한다"고 말했다.

이번 바이오스 악성코드는 시스코 제품에 영향을 주는 것이지만, 시스코는 이미 자체 안전 부팅(Secure Boot) 시작 프로세스를 통해 이번 문제에 대해 패치를 했다고 말했다. editor@itworld.co.kr


X