[보안뉴스 문가용 기자] 마이크로소프트가 정상적으로 서명한 인증서가 다시 한 번 중국 게이머들 사이에서 문제를 일으키고 있다. 지난 여름에 발생한 사건과 비슷하게, 이번에도 MS가 서명한 인증서를 통해 루트킷이 유포되고 있는 것이다. 다만 지난 여름과 달리 이번에 유포되는 루트킷은 파이브시스(FiveSys)다.
[이미지 = utoimage]
이번에 중국 게이머들의 장비들에 설치되고 있는 루트킷인 파이브시스는 게이머들의 트래픽을 특정 프록시 서버로 우회시키는 기능을 가지고 있다. 이 프록시 서버는 당연히 공격자들이 제어 및 운영하는 것으로, 중국 게임 시장에 대한 관심이 많은 자가 배후에 있는 것으로 추정된다. 파이브시스가 중국 게임 업계에서 몰래 활동한 건 이미 1년이 넘은 일이라고 하며, 현재까지는 게이머들의 크리덴셜과 게임 내 아이템을 훔치는 것이 주요 목적이었다고 보안 업체 비트디펜더(Bitdefender)가 발표했다.
올해 6월 마이크로소프트가 서명한 멀웨어는 넷필터(Netfilter)였다. 당시에는 보안 업체 지데이터(G-DATA)가 문제를 발견했는데, 넷필터 역시 중국의 게이머들을 주요 표적으로 삼고 있었다. 넷필터와 파이브시스 모두 마이크로소프트의 인증서 서명 시스템을 침해했다는 점에서 비슷하다. 중국의 게이머들을 노렸다는 점도 같다. 그러나 두 멀웨어가 같은 패밀리이거나 코드 유사성을 가지고 있는 건 아니다.
비트디펜더의 위협 연구 분석가인 보그단 보테자쿠(Bogdan Botezatu)는 마이크로소프트의 서명 체계에 대해서 다음과 같이 설명한다. “2016년부터 MS는 윈도 하드웨어 퀄리티 랩스(Windows Hardware Quality Labs, WHQL)라는 실험 과정을 통해 접수되는 모든 서드파티 드라이버들을 MS가 직접 서명해야 하는 방식으로 정책을 바꿨습니다. 따라서 MS가 정상적으로 서명한 인증서를 공격자가 가져간다는 게 쉽지 않게 되었죠. 그런데 올해에만 그러한 사건이 두 건이나 적발이 됐습니다. 공격자들이 어떤 식으로 MS의 진짜 서명을 가로챘는지는 아직 알 수 없습니다.”
참고로 MS의 WHQL라는 검사는 윈도 하드웨어 호환성 검사의 일환으로 진행되는 것으로, 드라이버들을 비롯해 여러 서드파티 소프트웨어들이 마이크로소프트의 윈도 환경 및 기술들과 호환이 되는지 확인하는 것을 목적으로 하고 있다. 2016년부터 MS는 보안 강화를 이유로 이 검사 과정을 거친 모든 서드파티 드라이버 및 소프트웨어에 직접 서명을 하고 있다.
비트디펜더는 정상적인 디지털 서명을 공격자들이 입수하게 된 방법과 경로를 아직 몰라 현재 상황을 주시하고 있다고 한다. 또한 정상적인 서명을 탑재한 악성 드라이버들이 앞으로 더 발굴될 수 있을 것으로 보고 있다. MS 측에서도 이 사건과 관련하여 이렇다 할 설명을 하고 있지 않다.
한편 룻키트에 대해서 보테자투는 “사이버 범죄자들이 사용하는 무기들 중 어쩌면 가장 강력하고 위협적인 것”이라고 말한다. 공격자들이 피해자의 장비를 완전히 제어할 수 있게 해 주기 때문이다. “공격자들은 피해자의 장비를 완전히 제어할 수 있을 때 가장 큰 이득을 거둘 수 있습니다. 그래서 제어권 장악을 위해 여러 가지 방법을 사용하는데, 그 중 하나가 룻키트를 설치하는 겁니다. 주로 서드파티 소프트웨어를 검사 및 확인하는 과정에 공격자들이 룻키트를 주입시킵니다. 구글 플레이 스토어에 멀웨어가 주입되는 것처럼요. 이번 사건도 그러한 맥락에서 이뤄진 거라고 볼 수 있습니다.”
3줄 요약
1. 중국 게이머를 덮친 룻키트, MS가 정상적으로 서명을 함.
2. 룻키트는 시스템 제어 권한을 공격자에게 주는 무서운 공격 도구.
3. 도대체 어떻게 공격자가 MS 서명을 가져간 건지...
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>