2018.10.26

박멸했던 악성코드의 귀환, "사이버 용병은 '사회의 위협'"…사일런스

J.M. Porup | CSO
악성코드 박멸은 헤라클레스가 9개의 머리를 가진 히드라와 싸우는 것을 연상시킨다. 머리를 자를 때마다, 같은 자리에서 2개의 머리가 다시 자라난다. 이는 사일런스(Cylance)의 새 보고서의 메시지다. 기업 네트워크 방어자는 물론 일반인도 명심해야 할 교훈이다. 


Credit: Getty Images Bank

이른바 사이버 용병은 중동의 압제 정권 및 체제에 악성코드를 판매하고 있다. 그리고 올해 초 시티즌 랩(Citizen Lab)의 조사 결과에 따르면, 중동의 압제 정권은 국민들을 공격하는 데 이런 악성코드를 이용하고 있다. 터키와 이집트 정권은 국내 ISP로 하여금 캐나다에서 만든 샌드바인(Sandvine)/프로세라(Procera) 딥 패킷 검사 미들박스를 운영하도록 강제하고 있다.

이를 통해 어베스트(Avast), VLC 플레이어, WinRAR 같은 인기 소프트웨어의 암호화되지 않은 HTTP 다운로드에 악성코드를 주입한다. 이집트와 터키, 그리고 터키 국경 인근인 시리아의 많은 사용자가 여기에 영향을 받고 있다. 

시티즌 랩이 보고서를 발표한 이후, 사일런스는 6개월 간 프로메튬(promethium)이나 스트롱피티(StrongPity)와 같은 악성코드가 어떻게 바뀌었는지 조사했다. 사일런스의 위협 인텔리전스 책임자 케빈 라이블리는 본지와의 인터뷰에서 "레이더에서 침해가 사라진 것처럼 보일 수 있다. 그러나 정말로 사라졌다는 의미는 아니다"고 지적했다.

사이버 용병 그룹이 개발한 것으로 알려진 이 악성코드 그룹은 코드를 변경, 눈에 띄지 않게 활동을 하고 있을 뿐이다. 계속해서 압제 정권과 체제에 악성코드를 판매하고 있다는 의미다.

사이버 용병, 누구의 책임인가 
직접 이런 악성코드를 개발할 리소스가 없는 압제 정권은 수 많은 사이버 용병 그룹이 반체제 인사, 언론인, 정적, 기타 정권이 좋아하지 않는 사람의 신원을 파악하고, 해킹하고, '스토킹'하고, 위협하고, 사라지게 만들고, 고문하고, 살해하는 데 필요한 소프트웨어와 하드웨어를 공급하는 '회색 시장'을 찾는다.

이와 관련, 이스라엘 하레츠(Haaretz) 신문은 사이버 용병 비즈니스의 어두운 이면을 폭로하는 특종을 보도한 바 있다. 이스라엘만 이런 사이버 용병의 기업 활동을 용인하는 것이 아니다. 캐나다, 독일, 이탈리아도 이들의 기업 활동을 묵인하고 있다.

사일런스는 회사 정책이라는 이유로 특정 용병 그룹과 악성코드를 직접 연결시키는 것을 거부했다. 그러나 보고서 내용은 피니아스 피셔(PHineas Phisher)라는 '자경단원' 해커가 해킹을 해서, 400GB의 소스코드와 내부 자료, 이메일을 온라인에 공개한 이탈리아 사이버 용병 그룹일 수 있다는 힌트를 주고 있다. 사일런스 보고서는 "이 악성코드 그룹과 이탈리아 소재 기업이 연결되어 있다고 믿을 근거와 이유가 있다. 가까운 장래에 조사를 희망하는 단서들이다"고 설명했다.

악성코드 그룹을 '박멸'했을 때
시티즌 랩 보고서 발표 이후, 얼마 지나지 않아 사이버 용병 그룹의 악성코드가 다시 '귀환'했다. 이 보고서는 "시티즌 랩 보고서 발표 2달 후, 사일런스는 프로메튬과 스트롱피티가 새로운 인프라를 이용해 다시 새롭게 활동하고 있는 것을 발견했다. 확인된 도메인들은 모두 시티즌 랩 보고서 2주 후 등록된 것들이다. 새로운 정보가 공개될 때마다 악성코드가 계속 바뀌어 적응을 한다"고 설명했다.

계속 동작을 하기 위한 리툴링(Retooling) 요건이 낮다. 이 보고서는 이와 관련, "최소한의 노력과 코드 변경만으로 '레이더'를 피할 수 있다. 사일런스는 새로운 도메인, 새로운 IP 주소, 파일 이름 변경, 미미한 코드 난독화(Obfuscation) 변경을 확인했다"고 전했다.

현재 사이버 용병 그룹은 중소 국가 수준의 리소스를 갖고 있으며, 따라서 APT(Advanced Persistent Threat)로 간주되어야 한다. 해당 무기가 법치주의가 완전히 무시된 상태에서 국민들에게 악용될 수 있기 때문이다. 라이블리는 "보안 연구원들이 보고서를 발표한 후, 이런 위협 주체들의 활동이 사라진 것처럼 보이는 때가 많다. 사람들은 이를 잊어버린다. 그러나 이번 조사 결과는 네트워크 방어 담당자와 보안 연구원들이 때때로 과거 악성코드 활동을 다시 확인하고, 조사 결과 발표 후에 어떤 일이 일어났는지 확인하는 것이 얼마나 중요한지 알려주고 있다"고 강조했다.

사이버 용병은 '사회의 위협'
사이버 용병은 인류 및 인도주의에 대한 범죄의 자발적인 공범이다. 인권 보호에 앞장선다고 공언하는 서구 국가들이 이런 사이버 용병의 활동을 승인하고, 더 나아가 '양심의 자유'에 대한 권리를 행사하는 사람들을 찾아 괴롭히는 데 악용되는 해킹 도구 같은 기술에 대한 수출을 승인하는 경우, 우리 모두가 이런 잔혹한 범죄의 공범이 되는 것이다.

이런 행위를 근절시키려는 시도가 있었지만, 지금까지는 실패를 거듭했다. 2015년, 특정 국가에 핵 분열성 물질과 원심 분리기 같은 이중 용도 기술 수출을 금지하는 바세나르 협정에 보안 소프트웨어를 다량으로 수출하는 것 또한 금지시킬 수 있도록 개정하려는 시도가 있었다. 그러나 이후 중단이 되었다.

정부 해킹의 경우 본질적으로 '발뺌의 여지'가 남는다. 자유 사회에서도 이런 식의 사용을 통제할 수 없다는 의미다. 억제되지 않는 권력과 권한은 항상 남용되기 마련이다.

하레츠 신문에서 'Gal'이라는 신분을 감춘 사이버 용병 그룹의 내부 고발자는 "이런 종류의 기술이 절대 악용되지 않는다는 보장이 없다. 방식이 문제일 뿐 악용될 것이다. 나는 그런 '고통'의 일부가 되고 싶지 않았다"고 말했다. editor@itworld.co.kr 


2018.10.26

박멸했던 악성코드의 귀환, "사이버 용병은 '사회의 위협'"…사일런스

J.M. Porup | CSO
악성코드 박멸은 헤라클레스가 9개의 머리를 가진 히드라와 싸우는 것을 연상시킨다. 머리를 자를 때마다, 같은 자리에서 2개의 머리가 다시 자라난다. 이는 사일런스(Cylance)의 새 보고서의 메시지다. 기업 네트워크 방어자는 물론 일반인도 명심해야 할 교훈이다. 


Credit: Getty Images Bank

이른바 사이버 용병은 중동의 압제 정권 및 체제에 악성코드를 판매하고 있다. 그리고 올해 초 시티즌 랩(Citizen Lab)의 조사 결과에 따르면, 중동의 압제 정권은 국민들을 공격하는 데 이런 악성코드를 이용하고 있다. 터키와 이집트 정권은 국내 ISP로 하여금 캐나다에서 만든 샌드바인(Sandvine)/프로세라(Procera) 딥 패킷 검사 미들박스를 운영하도록 강제하고 있다.

이를 통해 어베스트(Avast), VLC 플레이어, WinRAR 같은 인기 소프트웨어의 암호화되지 않은 HTTP 다운로드에 악성코드를 주입한다. 이집트와 터키, 그리고 터키 국경 인근인 시리아의 많은 사용자가 여기에 영향을 받고 있다. 

시티즌 랩이 보고서를 발표한 이후, 사일런스는 6개월 간 프로메튬(promethium)이나 스트롱피티(StrongPity)와 같은 악성코드가 어떻게 바뀌었는지 조사했다. 사일런스의 위협 인텔리전스 책임자 케빈 라이블리는 본지와의 인터뷰에서 "레이더에서 침해가 사라진 것처럼 보일 수 있다. 그러나 정말로 사라졌다는 의미는 아니다"고 지적했다.

사이버 용병 그룹이 개발한 것으로 알려진 이 악성코드 그룹은 코드를 변경, 눈에 띄지 않게 활동을 하고 있을 뿐이다. 계속해서 압제 정권과 체제에 악성코드를 판매하고 있다는 의미다.

사이버 용병, 누구의 책임인가 
직접 이런 악성코드를 개발할 리소스가 없는 압제 정권은 수 많은 사이버 용병 그룹이 반체제 인사, 언론인, 정적, 기타 정권이 좋아하지 않는 사람의 신원을 파악하고, 해킹하고, '스토킹'하고, 위협하고, 사라지게 만들고, 고문하고, 살해하는 데 필요한 소프트웨어와 하드웨어를 공급하는 '회색 시장'을 찾는다.

이와 관련, 이스라엘 하레츠(Haaretz) 신문은 사이버 용병 비즈니스의 어두운 이면을 폭로하는 특종을 보도한 바 있다. 이스라엘만 이런 사이버 용병의 기업 활동을 용인하는 것이 아니다. 캐나다, 독일, 이탈리아도 이들의 기업 활동을 묵인하고 있다.

사일런스는 회사 정책이라는 이유로 특정 용병 그룹과 악성코드를 직접 연결시키는 것을 거부했다. 그러나 보고서 내용은 피니아스 피셔(PHineas Phisher)라는 '자경단원' 해커가 해킹을 해서, 400GB의 소스코드와 내부 자료, 이메일을 온라인에 공개한 이탈리아 사이버 용병 그룹일 수 있다는 힌트를 주고 있다. 사일런스 보고서는 "이 악성코드 그룹과 이탈리아 소재 기업이 연결되어 있다고 믿을 근거와 이유가 있다. 가까운 장래에 조사를 희망하는 단서들이다"고 설명했다.

악성코드 그룹을 '박멸'했을 때
시티즌 랩 보고서 발표 이후, 얼마 지나지 않아 사이버 용병 그룹의 악성코드가 다시 '귀환'했다. 이 보고서는 "시티즌 랩 보고서 발표 2달 후, 사일런스는 프로메튬과 스트롱피티가 새로운 인프라를 이용해 다시 새롭게 활동하고 있는 것을 발견했다. 확인된 도메인들은 모두 시티즌 랩 보고서 2주 후 등록된 것들이다. 새로운 정보가 공개될 때마다 악성코드가 계속 바뀌어 적응을 한다"고 설명했다.

계속 동작을 하기 위한 리툴링(Retooling) 요건이 낮다. 이 보고서는 이와 관련, "최소한의 노력과 코드 변경만으로 '레이더'를 피할 수 있다. 사일런스는 새로운 도메인, 새로운 IP 주소, 파일 이름 변경, 미미한 코드 난독화(Obfuscation) 변경을 확인했다"고 전했다.

현재 사이버 용병 그룹은 중소 국가 수준의 리소스를 갖고 있으며, 따라서 APT(Advanced Persistent Threat)로 간주되어야 한다. 해당 무기가 법치주의가 완전히 무시된 상태에서 국민들에게 악용될 수 있기 때문이다. 라이블리는 "보안 연구원들이 보고서를 발표한 후, 이런 위협 주체들의 활동이 사라진 것처럼 보이는 때가 많다. 사람들은 이를 잊어버린다. 그러나 이번 조사 결과는 네트워크 방어 담당자와 보안 연구원들이 때때로 과거 악성코드 활동을 다시 확인하고, 조사 결과 발표 후에 어떤 일이 일어났는지 확인하는 것이 얼마나 중요한지 알려주고 있다"고 강조했다.

사이버 용병은 '사회의 위협'
사이버 용병은 인류 및 인도주의에 대한 범죄의 자발적인 공범이다. 인권 보호에 앞장선다고 공언하는 서구 국가들이 이런 사이버 용병의 활동을 승인하고, 더 나아가 '양심의 자유'에 대한 권리를 행사하는 사람들을 찾아 괴롭히는 데 악용되는 해킹 도구 같은 기술에 대한 수출을 승인하는 경우, 우리 모두가 이런 잔혹한 범죄의 공범이 되는 것이다.

이런 행위를 근절시키려는 시도가 있었지만, 지금까지는 실패를 거듭했다. 2015년, 특정 국가에 핵 분열성 물질과 원심 분리기 같은 이중 용도 기술 수출을 금지하는 바세나르 협정에 보안 소프트웨어를 다량으로 수출하는 것 또한 금지시킬 수 있도록 개정하려는 시도가 있었다. 그러나 이후 중단이 되었다.

정부 해킹의 경우 본질적으로 '발뺌의 여지'가 남는다. 자유 사회에서도 이런 식의 사용을 통제할 수 없다는 의미다. 억제되지 않는 권력과 권한은 항상 남용되기 마련이다.

하레츠 신문에서 'Gal'이라는 신분을 감춘 사이버 용병 그룹의 내부 고발자는 "이런 종류의 기술이 절대 악용되지 않는다는 보장이 없다. 방식이 문제일 뿐 악용될 것이다. 나는 그런 '고통'의 일부가 되고 싶지 않았다"고 말했다. editor@itworld.co.kr 


X