극도의 인내심 가진 ‘시한폭탄’ 악성코드

[보안뉴스 김형근 기자] 보안 기업 코이(Koi) 연구진이 최근 지난 7년간 크롬, 에지, 파이어폭스 등 주요 브라우저 사용자 880만 명을 감염시킨 중국 기반의 해킹 조직 다크스펙터(DarkSpectre)의 실체를 폭로했다.


[자료: 코이]

이들은 셰이디판다(ShadyPanda), 줌스틸러(Zoom Stealer), 고스트포스터(GhostPoster) 등 다른 이름의 캠페인을 동시에 운영하며 기업 스파이 활동부터 소비자 사기까지 광범위한 범죄를 저질러 왔다.

이 조직의 가장 큰 특징은 극도의 인내심이다. 이들은 확장 프로그램을 출시한 후 무려 5년 이상 정상적 기능을 제공하며 신뢰를 쌓은 뒤, 충분한 사용자가 확보된 시점에 비로소 악성 코드를 심는 방식을 택했다.

이들의 침투 수법은 기존 보안 시스템을 비웃을 정도로 정교하다. 설치 후 3일간은 아무런 활동도 하지 않는 ‘시한폭탄’ 방식을 사용해 스토어의 보안 심사를 무사히 통과한다.

또 모든 페이지가 아니라 약 10%의 확률로만 악성 코드를 활성화해 보안 전문가의 추적을 따돌렸다.

스테가노그래피(Steganography) 기술을 활용해 로고 이미지(PNG) 파일 안에 악성 자바스크립트를 숨겨 배포하는 치밀함을 보였다.


[자료: 코이]

더욱 위협적인 것은 구성 기반 공격(configuration-based approach)이다. 해커는 확장 프로그램을 업데이트하지 않고도 자신들의 서버 설정만 변경하여 사용자 브라우저에서 실행되는 악성 코드를 실시간으로 바꿀 수 있다.

이는 추가적 보안 심사를 거치지 않고도 공격의 성격과 대상을 자유자재로 변경할 수 있음을 의미한다.

연구진은 100개가 넘는 관련 확장 프로그램을 찾아냈으며, 이들이 국가 규모의 자원과 전략을 보유한 고도로 조직화된 범죄 집단임을 확인했다.

이번 사건은 신뢰받는 플랫폼조차 해커들의 장기적 잠복과 지능적 우회 수법 앞에선 완벽한 방패가 될 수 없음을 보여준다. 공급망 보안에 대한 근본적 경각심이 필요하다는 지적이다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>