2018.05.02

"북한 안티바이러스 '실리왁찐', 트렌드마이크로 구성요소 도용했다"…체크포인트

Steve Ragan | CSO
체크포인트의 연구원은 북한의 실리왁찐(SiliVaccine) 제품이 10년 전 트렌드마이크로(Trend Micro) 안티바이러스 제품에서 가져온 기능 요소를 사용했다는 보고서를 발표했다.

체크포인트의 조사는 IDG의 마틴 윌리엄스가 분석용 소프트웨어 샘플을 공유하면서 시작됐다. 윌리엄스는 이전에 북한 IT 블로그에서 북한의 안티바이러스와 관련한 내용을 쓴 적이 있다.

북한은 잘 알려진 위협의 주체이지만, 북한 스스로는 이런 주장은 적의 선전에 지나지 않는다고 주장하고 있다. 실리왁찐은 붉은별(Red Star) 운영체제에서 실행되는 합법적 기술 가운데 하나로 북한에서 널리 사용되고 있다.

체크포인트 연구원들이 윌리엄스가 공유한 샘플을 조사한 결과, 실리왁찐에서 트렌드마이크로의 많은 안티바이러스 엔진 코드를 발견했다.

체크포인트는 "또한 실리왁진의 제작자들은 정확히 일치하는 코드들을 잘 감추지 못했다. 트렌드마이크로는 일본 업체이며 일본과 북한은 외교적이나 정치적으로 관계가 없다는 점에서 놀라운 일이다"고 말했다.

또 다른 흥미로운 발견은 북한의 안티바이러스에는 뉴워(NUWAR)와 첼라티(ZHELAT)와 유사한 특성의 악성코드에 대한 화이트리스트가 내장되어 있다는 사실이다. 트렌드마이크로 측은 체크포인트의 연구는 알고 있지만 북한이 개발한 제품에 자사의 코드가 어떻게 들어가 있는지 알지 못한다고 말했다.

트렌드마이크로는 북한의 안티바이러스 제품인 실리왁찐에 대한 체크포인트의 연구를 알고 있었으며, 체크포인트는 검증을 위해 이 소프트웨어 사본을 제공했다. 트렌드마이크로는 "이 복사본의 출처나 진위 여부는 확인할 수 없지만, 다양한 제품에서 사용되는 널리 배포된 10년 이상 된 트렌드마이크로 검색엔진 버전을 기반으로 모듈을 통합한 것 같다"고 전했다.

트렌드마이크로는 "북한 내, 혹은 북한과 비즈니스를 해본 적이 없다. 이 모듈의 사용이 완전히 무허가에 불법적인 사용임을 알고 있지만, 소스코드가 존재한다는 증거는 보이지 않는다. 문제의 스캔 엔진 버전은 꽤 오래된 것이다. 수년 동안 트렌드마이크로와 타사의 보안 제품들은 다양한 OEM 거래를 통해 널리 인가되어 있기 때문에 실리왁찐 제작자가 이를 획득한 방법에 대해서는 알 수 없다"고 설명했다.

체크포인트는 자사의 발견이 트렌드마이크로와 일치한다고 말하고 소스코드 도용은 일회성이 아니라고 주장했다. 현재 이 코드 전체는 체크포인트 블로그에서 볼 수 있다. editor@itworld.co.kr  


2018.05.02

"북한 안티바이러스 '실리왁찐', 트렌드마이크로 구성요소 도용했다"…체크포인트

Steve Ragan | CSO
체크포인트의 연구원은 북한의 실리왁찐(SiliVaccine) 제품이 10년 전 트렌드마이크로(Trend Micro) 안티바이러스 제품에서 가져온 기능 요소를 사용했다는 보고서를 발표했다.

체크포인트의 조사는 IDG의 마틴 윌리엄스가 분석용 소프트웨어 샘플을 공유하면서 시작됐다. 윌리엄스는 이전에 북한 IT 블로그에서 북한의 안티바이러스와 관련한 내용을 쓴 적이 있다.

북한은 잘 알려진 위협의 주체이지만, 북한 스스로는 이런 주장은 적의 선전에 지나지 않는다고 주장하고 있다. 실리왁찐은 붉은별(Red Star) 운영체제에서 실행되는 합법적 기술 가운데 하나로 북한에서 널리 사용되고 있다.

체크포인트 연구원들이 윌리엄스가 공유한 샘플을 조사한 결과, 실리왁찐에서 트렌드마이크로의 많은 안티바이러스 엔진 코드를 발견했다.

체크포인트는 "또한 실리왁진의 제작자들은 정확히 일치하는 코드들을 잘 감추지 못했다. 트렌드마이크로는 일본 업체이며 일본과 북한은 외교적이나 정치적으로 관계가 없다는 점에서 놀라운 일이다"고 말했다.

또 다른 흥미로운 발견은 북한의 안티바이러스에는 뉴워(NUWAR)와 첼라티(ZHELAT)와 유사한 특성의 악성코드에 대한 화이트리스트가 내장되어 있다는 사실이다. 트렌드마이크로 측은 체크포인트의 연구는 알고 있지만 북한이 개발한 제품에 자사의 코드가 어떻게 들어가 있는지 알지 못한다고 말했다.

트렌드마이크로는 북한의 안티바이러스 제품인 실리왁찐에 대한 체크포인트의 연구를 알고 있었으며, 체크포인트는 검증을 위해 이 소프트웨어 사본을 제공했다. 트렌드마이크로는 "이 복사본의 출처나 진위 여부는 확인할 수 없지만, 다양한 제품에서 사용되는 널리 배포된 10년 이상 된 트렌드마이크로 검색엔진 버전을 기반으로 모듈을 통합한 것 같다"고 전했다.

트렌드마이크로는 "북한 내, 혹은 북한과 비즈니스를 해본 적이 없다. 이 모듈의 사용이 완전히 무허가에 불법적인 사용임을 알고 있지만, 소스코드가 존재한다는 증거는 보이지 않는다. 문제의 스캔 엔진 버전은 꽤 오래된 것이다. 수년 동안 트렌드마이크로와 타사의 보안 제품들은 다양한 OEM 거래를 통해 널리 인가되어 있기 때문에 실리왁찐 제작자가 이를 획득한 방법에 대해서는 알 수 없다"고 설명했다.

체크포인트는 자사의 발견이 트렌드마이크로와 일치한다고 말하고 소스코드 도용은 일회성이 아니라고 주장했다. 현재 이 코드 전체는 체크포인트 블로그에서 볼 수 있다. editor@itworld.co.kr  


X