보안

NSA 스파이웨어 탐지 무료 툴 등장…감염 기기 10만 대 발견

Michael Kan | IDG News Service 2017.04.24
보안 전문업체 카운터셉트(Countercept)의 보안 연구원 루크 제닝스가 지난 주 해커 집단 셰도우 브로커에 의해 일반에 공개된 스파이웨어에 대응하는 스크립트를 만들어 공개했다. 이 스크립트는 더블펄서(Doublepulsar)라는 스파이웨어가 심어져 있는지 탐지한다.

스크립트를 사용하기 위해서는 약간의 프로그램이 기술이 필요하며, 현재 깃허브에 올라와 있다.

몇몇 보안 연구원은 제닝스의 스크립트를 이용해 감염된 기기가 얼마나 되는지 인터넷을 검사했다. 결과는 편차가 컸는데, 3만 대에서 10만 대의 컴퓨터가 이 스파이웨어에 감염된 것으로 나타났다. 침입 테스트 업체인 빌로우제로데이(Below0Day)는 트위터를 통해 국가별 감염 정도를 공개했는데, 미국이 1만 1,000대로 가장 많았다. 그 외에 영국, 대만, 독일이 1,500대 정도였다.

제닝스는 이들 기기가 언제 더블펄서에 감염됐는지는 알 수 없다고 밝혔다. 하지만 NSA의 스파이웨어가 공개된 것이 벌써 지난 주이기 때문에 발 빠른 해커라면 이미 이를 악용할 수 있는 충분한 시간이다.

한편 제닝스는 더블펄서가 인터넷을 통해 컨트롤 서버와 통신하는 방법을 분석해 이번 스크립트를 개발했다고 밝혔다. 하지만 제닝스의 원래 의도는 기업들이 자사 네트워크에 대해 스파이웨어를 탐지하는 데 이용하는 것이지 인터넷 전체에 대한 검사하는 것은 아니었다. 하지만 아직 제닝스의 스크립트가 잘못 됐다는 증거를 제시한 사람은 없다.

포보스 그룹 CEO 댄 텐틀러는 이 스크립트의 정확성을 조사했다. 텐틀러는 이미 수작업으로 감염이 확인된 기기 50대에 대해 스크립트를 사용해 봤는데, 50대 모두 스크립트를 통해서도 감염된 것으로 확인됐다. 텐틀러는 “스크립트가 좋지 않다면, 검사를 많이 하면 몇 개 정도는 오탐이 생기기 마련이다. 하지만 이 스크립트로는 아직 오탐을 발견하지 못했다”라고 밝혔다.

보안 연구원들이 더블펄서 검색 결과의 정확성을 확인하는 데는 시간이 좀 더 걸릴 것으로 보인다. 하지만 텐틀러는 시스템 운영자가 최근 유출된 악성코드의 감염을 막기 위해 당장 조처할 것을 권장했다.

가장 먼저 해야 할 것은 윈도우 시스템에 사용할 수 있는 모든 패치를 적용하는 것이다. 마이크로소프트의 이전 패치도 위험을 해결할 수 있지만, 윈도우 XP나 윈도우 서버 2003은 마이크로소프트의 지원이 중단된 상태이다. 이 경우 운영체제 업그레이드를 고려해야 한다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.