2017.06.21

“비주얼 베이직 위협의 귀환” 미국 대선 해킹의 중심에 있는 보안 허점

Preston Gralla | Computerworld
2016년 미국 대선에 대한 러시아 해킹은 미국 민주당 전국위원회와 클린턴 선거운동본부에 침투하는 것을 넘어 더 깊숙이 진행됐다. 러시아는 투표가 시작되기 직전에 선거와 관련된 하드웨어와 소프트웨어에 관한 정보에 접근하는 방법도 확보한 것이다.

Credit: Pixabay

인터셉트(The Intercept)는 미 NSA의 1급 기밀문서를 공개했는데, 이 문서는 러시아가 선거용 하드웨어와 소프트웨어를 어떻게 해킹했는지를 보여준다. 이번 해킹의 핵심에 있는 것은 마이크로소프트의 보안 허점으로, 2000년 이전부터 존재했지만 아직도 구멍을 막지 못한 상태이다. 그리고 앞으로도 계속 허점으로 존재할 가능성이 크다.

문제의 보안 허점을 살펴보기 전에, 러시아의 해킹이 어떻게 이루어졌는지 약간의 배경 정보를 알 필요가 있다. 상세한 내용은 미 NSA의 기밀 문서를 참고하기 바란다. NSA 문서에 의하면, 러시아의 군사정보기관인 GRU는 미국 선거 시스템을 개발하는 미국 기업을 대상으로 스피어피싱을 시작했다. 인터셉트는 피해 기업이 플로리다 주의 전자선거 서비스 및 장비 업체인 VR 시스템이며, 미국 내 8개 주가 이 회사의 제품을 사용하고 있는 것 같다고 언급했다.

noreplyautomaticservice@gmail.com에서 보낸 가짜 구글 경보 이메일이 이 회사의 직원 7명에게 전송됐다. 직원들에게 전해진 내용은 구글 웹 사이트에 즉각 로그인하라는 것이었는데, 해당 사이트는 가짜였다. 최소한 1명의 직원이 문제의 사이트에 로그인했고, 이때 인증서를 도난당했다.

이들 인증서를 이용해 GRU는 더 위험한 스피어피싱 공격을 감행하고, 이 회사에 침투해 한동안 문서를 훔쳤다. 2016년 10월 31일 또는 11월 1일에 이루어진 이 두 번째 공격에서 스피어피싱 이메일이 “알려진 지방정부 조직과 관련된” 122개의 이메일 주소로 발송됐는데, “투표자 등록 시스템의 관리에 관여하는” 공무원의 것일 가능성이 크다. 다시 말해 러시아는 투표자 등록 시스템을 관리하는 사람을 공격 목표로 삼은 것이다.

마이크로소프트의 보안 허점은 이 시점에 등장한다. 이들 이메일에 첨부된 것은 마이크로소프트 워드 문서로, 이메일은 이 문서가 VR 시스템의 EViD 투표자 데이터베이스 제품군을 소개하는 문서라고 설명했다. 하지만 실제로 이 문서는 “트로이 목마가 심어진 마이크로소프트 워드 문서로, 파워셸을 생성하는 악성 비주얼 베이직 스크립트가 숨어 있었다, 생성된 파워셸은 악성 인프라로부터 알 수 없는 페이로드를 받아 실행하는 일련의 명령을 실행하는 데 사용한다. 알 수 없는 페이로드는 2차 페이로드를 설치할 가능성이 매우 높으며, 이를 통해 피해자의 시스템을 살펴볼 수 있는 영구적인 액세스를 구축한다.”

쉽게 말해 워드 문서가 피해자 컴퓨터로 들어가는 뒷문을 열어 GRU가 원하는 악성 코드를 무엇이든 설치할 수 있도록 했고, 러시아는 실질적으로 피해자가 액세스하는 어떤 정보라도 얻을 수 있었다.

러시아가 선거와 관련된 어떤 정보를 수집했고, 이를 어떻게 사용했는지는 확실하지 않다. 하지만 마이크로소프트의 보안 허점을 이용해 미국의 선거용 하드웨어와 소프트웨어에 매우 가까이 접근할 수 있었고, 선거인 명부에도 접근했을 가능성이 있다.

1999년 멜리사 바이러스와 2000년 아이러브유 바이러스가 전세계를 휩쓰는 데도 비주얼 베이직은 결정적인 역할을 했다. 2002년 가트너의 CTO 마이클 즈보레이는 비주얼 베이직이 “잘못된 보안 태도”를 가지고 있다고 지적하며, “비주얼 베이직 스크립트와 매크로는 재난임이 증명됐다. 이런 사고는 앞으로도 계속 계속 일어날 것이다. 우리는 워드와 엑셀, 브라우저를 통해 오는 이 적대적인 실행 콘텐츠를 없애야만 한다”라고 덧붙였다.

그리고 15년이 지난 지금, 비주얼 베이직은 아직도 재난임을 입증했다. 비주얼 베이직은 비주얼 베이직 포 애플리케이션(Visual Basic for Applications)으로 바뀌었지만, 허점은 여전히 남아 있다. 2015년 보안 전문업체 소포스는 이런 종류의 공격이 다시 실행될 것이라고 경고한 바 있다. 이번 러시아 해킹은 비주얼 베이직을 이용한 공격이 부활했다는 것을 보여준다.

마이크로소프트가 비주얼 베이직을 버릴 가능성은 낮다. 이미 너무나 많은 기업이 사용하고 있기 때문이다. 따라서 기업 스스로 좀 더 슬기롭게 사용하는 수밖에 없다. 소포스는 외부에서 이메일을 통해 전달되는 모든 오피스 파일을 차단할 것을 권고한다. 마이크로소프트도 자사의 보안 블로그를 통해 “오피스 20165의 신기능은 매크로를 차단해 감염을 방지하는 데 도움이 된다”며, 기업이 그룹 정책을 사용해 이메일이나 인터넷으로 받은 오피스 문서에서 매크로가 실행되는 것을 차단하는 방법을 설명했다.

기업은 비주얼 베이직 포 애플리케이션과 매크로가 해커와 악성코드 작성자에게 강력한 무기라는 사실을 인식해야 한다. 미국의 선거를 위협할 수 있다면, 분명 기업의 가장 중요한 문서와 기밀도 위협할 수 있다. 마이크로소프트가 비주얼 베이직을 폐기하지 않을 것이란 점을 고려하면, 기업은 외부에서 유입되는 문서의 매크로와 스크립트를 차단해 스스로 제어권을 확보해야 한다.  editor@itworld.co.kr


2017.06.21

“비주얼 베이직 위협의 귀환” 미국 대선 해킹의 중심에 있는 보안 허점

Preston Gralla | Computerworld
2016년 미국 대선에 대한 러시아 해킹은 미국 민주당 전국위원회와 클린턴 선거운동본부에 침투하는 것을 넘어 더 깊숙이 진행됐다. 러시아는 투표가 시작되기 직전에 선거와 관련된 하드웨어와 소프트웨어에 관한 정보에 접근하는 방법도 확보한 것이다.

Credit: Pixabay

인터셉트(The Intercept)는 미 NSA의 1급 기밀문서를 공개했는데, 이 문서는 러시아가 선거용 하드웨어와 소프트웨어를 어떻게 해킹했는지를 보여준다. 이번 해킹의 핵심에 있는 것은 마이크로소프트의 보안 허점으로, 2000년 이전부터 존재했지만 아직도 구멍을 막지 못한 상태이다. 그리고 앞으로도 계속 허점으로 존재할 가능성이 크다.

문제의 보안 허점을 살펴보기 전에, 러시아의 해킹이 어떻게 이루어졌는지 약간의 배경 정보를 알 필요가 있다. 상세한 내용은 미 NSA의 기밀 문서를 참고하기 바란다. NSA 문서에 의하면, 러시아의 군사정보기관인 GRU는 미국 선거 시스템을 개발하는 미국 기업을 대상으로 스피어피싱을 시작했다. 인터셉트는 피해 기업이 플로리다 주의 전자선거 서비스 및 장비 업체인 VR 시스템이며, 미국 내 8개 주가 이 회사의 제품을 사용하고 있는 것 같다고 언급했다.

noreplyautomaticservice@gmail.com에서 보낸 가짜 구글 경보 이메일이 이 회사의 직원 7명에게 전송됐다. 직원들에게 전해진 내용은 구글 웹 사이트에 즉각 로그인하라는 것이었는데, 해당 사이트는 가짜였다. 최소한 1명의 직원이 문제의 사이트에 로그인했고, 이때 인증서를 도난당했다.

이들 인증서를 이용해 GRU는 더 위험한 스피어피싱 공격을 감행하고, 이 회사에 침투해 한동안 문서를 훔쳤다. 2016년 10월 31일 또는 11월 1일에 이루어진 이 두 번째 공격에서 스피어피싱 이메일이 “알려진 지방정부 조직과 관련된” 122개의 이메일 주소로 발송됐는데, “투표자 등록 시스템의 관리에 관여하는” 공무원의 것일 가능성이 크다. 다시 말해 러시아는 투표자 등록 시스템을 관리하는 사람을 공격 목표로 삼은 것이다.

마이크로소프트의 보안 허점은 이 시점에 등장한다. 이들 이메일에 첨부된 것은 마이크로소프트 워드 문서로, 이메일은 이 문서가 VR 시스템의 EViD 투표자 데이터베이스 제품군을 소개하는 문서라고 설명했다. 하지만 실제로 이 문서는 “트로이 목마가 심어진 마이크로소프트 워드 문서로, 파워셸을 생성하는 악성 비주얼 베이직 스크립트가 숨어 있었다, 생성된 파워셸은 악성 인프라로부터 알 수 없는 페이로드를 받아 실행하는 일련의 명령을 실행하는 데 사용한다. 알 수 없는 페이로드는 2차 페이로드를 설치할 가능성이 매우 높으며, 이를 통해 피해자의 시스템을 살펴볼 수 있는 영구적인 액세스를 구축한다.”

쉽게 말해 워드 문서가 피해자 컴퓨터로 들어가는 뒷문을 열어 GRU가 원하는 악성 코드를 무엇이든 설치할 수 있도록 했고, 러시아는 실질적으로 피해자가 액세스하는 어떤 정보라도 얻을 수 있었다.

러시아가 선거와 관련된 어떤 정보를 수집했고, 이를 어떻게 사용했는지는 확실하지 않다. 하지만 마이크로소프트의 보안 허점을 이용해 미국의 선거용 하드웨어와 소프트웨어에 매우 가까이 접근할 수 있었고, 선거인 명부에도 접근했을 가능성이 있다.

1999년 멜리사 바이러스와 2000년 아이러브유 바이러스가 전세계를 휩쓰는 데도 비주얼 베이직은 결정적인 역할을 했다. 2002년 가트너의 CTO 마이클 즈보레이는 비주얼 베이직이 “잘못된 보안 태도”를 가지고 있다고 지적하며, “비주얼 베이직 스크립트와 매크로는 재난임이 증명됐다. 이런 사고는 앞으로도 계속 계속 일어날 것이다. 우리는 워드와 엑셀, 브라우저를 통해 오는 이 적대적인 실행 콘텐츠를 없애야만 한다”라고 덧붙였다.

그리고 15년이 지난 지금, 비주얼 베이직은 아직도 재난임을 입증했다. 비주얼 베이직은 비주얼 베이직 포 애플리케이션(Visual Basic for Applications)으로 바뀌었지만, 허점은 여전히 남아 있다. 2015년 보안 전문업체 소포스는 이런 종류의 공격이 다시 실행될 것이라고 경고한 바 있다. 이번 러시아 해킹은 비주얼 베이직을 이용한 공격이 부활했다는 것을 보여준다.

마이크로소프트가 비주얼 베이직을 버릴 가능성은 낮다. 이미 너무나 많은 기업이 사용하고 있기 때문이다. 따라서 기업 스스로 좀 더 슬기롭게 사용하는 수밖에 없다. 소포스는 외부에서 이메일을 통해 전달되는 모든 오피스 파일을 차단할 것을 권고한다. 마이크로소프트도 자사의 보안 블로그를 통해 “오피스 20165의 신기능은 매크로를 차단해 감염을 방지하는 데 도움이 된다”며, 기업이 그룹 정책을 사용해 이메일이나 인터넷으로 받은 오피스 문서에서 매크로가 실행되는 것을 차단하는 방법을 설명했다.

기업은 비주얼 베이직 포 애플리케이션과 매크로가 해커와 악성코드 작성자에게 강력한 무기라는 사실을 인식해야 한다. 미국의 선거를 위협할 수 있다면, 분명 기업의 가장 중요한 문서와 기밀도 위협할 수 있다. 마이크로소프트가 비주얼 베이직을 폐기하지 않을 것이란 점을 고려하면, 기업은 외부에서 유입되는 문서의 매크로와 스크립트를 차단해 스스로 제어권을 확보해야 한다.  editor@itworld.co.kr


X