스턱스넷과 플레임보다 먼저 활동 시작했으면서 더 고도화
다양한 종류의 하드드라이브 해킹, 에어갭 해킹도 가능
NSA가 배후에? 아직은 정황상 증거일 뿐 속단할 수 없어

[보안뉴스 문가용] 여태껏 우리를 놀라게 했던 멀웨어에는 어떤 것들이 있을까. 다양한 멀웨어가 다양한 이유로 사람들을 충격에 빠트렸겠지만 ‘혁신’이라는 의미에서는 스턱스넷(Stuxnet), 플레임(Flame), 레진(Regin)을 꼽을 수 있을 것이다. 그런데 고차원 멀웨어의 대명사와 같은 스턱스넷보다도 훨씬 전인 2001년부터 활동을 시작한 사이버 스파이 행위의 흔적이 발견되었다. 기능도 그렇게 오래전에 나왔다고 믿을 수 없을 정도로 고차원적인 것이, 에어갭 네트워크에 있는 컴퓨터를 해킹하는 기능과 피해자의 하드드라이브를 몰래 조작해 멀웨어가 감지되거나 삭제되지 않도록 하는 기능까지 가지고 있다.
 

 ▲ 정보보안의 새로운 미스터리 생기나
이런 은밀하고도 시대를 앞서가는 사이버 해킹 행위를 한 단체의 이름은 이퀘이젼 그룹(Equation Group)이라고 카스퍼스키가 오늘 밝혔다. 카스퍼스키는 여태까지 탐지하고 조사한 사이버 스파이 행위 중 그 어떤 것보다 고도화된 형태의 해킹 수법을 보이는 단체라고 했다. 이 단체는 스턱스넷과 플레임과 연관성이 있는 것으로 보이지만 그 둘을 여러 면에서 앞서기도 한다. 일단 이퀘이젼 그룹이 2008년에 악용한 제로데이 취약점 두 개 중 하나를 훗날 스턱스넷이 본 따서 악용한 역사가 있다는 게 이를 반증한다. 아마도 이퀘이젼 그룹은 스턱스넷의 배후에 있는 해커들에게 자신들이 알고 있었던 걸 전수해준 듯 하다는 게 카스퍼스키의 의견이다.

무슨 짓을 했나?
이렇게 무시무시한 스파이 단체인 이퀘이젼 그룹은 현재까지 알려진 바에 의하면 30개가 넘는 나라에서 활동을 했으며 특히 이란, 러시아, 파키스탄 등이 최대의 피해를 입은 것으로 나타났다. 그밖에 시리아, 아프가니스탄, 카자흐스탄, 벨기에, 소말리아, 홍콩, 리비아, UAE, 이라크, 나이지리아, 에콰도르, 멕시코, 말레이시아, 수단, 미국, 레바논, 팔레스타인, 프랑스, 독일, 싱가포르, 카타르, 파키스탄, 에멘, 말리, 스위스, 방글라데시, 남아프리카공화국, 필리핀, 영국, 인도, 브라질 등이 있다. 정부처, 외교 관련 기관, 통신시설, 항공 관련 산업, 에너지 산업, 핵 개발, 석유와 가스, 군사, 나노기술, 매스미디어, 운송, 금융, 암호학 관련 개발, 미국과 영국에서 활동 중인 이슬람 활동가 및 학자들이 주요 공격 대상이었다.

개인으로 따지면 약 한 달에 2천 명이 이퀘이젼 그룹에 의해 감염된 것으로 추정하고 있다. 그런데 2014년 이후로는 돌연 자취를 감췄다. 적어도 2001년부터 활동을 시작했고, 그것이 2015년인 현재에 와서 겨우 밝혀진 건데 이미 작년부터의 활동내역은 파악할 수 없다는 건 이들이 자신을 더 깊숙이 감추기 시작했다는 뜻이 된다. C&C 서버들도 2014년에 전부 미국으로 이전했다. “아직 활동 중인 것은 확실합니다. 다만 저희 눈에 보이지 않게 된 것 뿐이죠.” 카스퍼스키의 코스틴 라이우(Costin Raiu)의 설명이다. “그래서 더 무섭죠.”

NSA가 배후에 있는가?
카스퍼스키의 공개 직후, NSA가 전문가들의 도마 위에 올라갔다. 그러나 카스퍼스키는 이퀘이젼 그룹의 배후 세력까지는 파악할 수 없었다고 밝히고 있다. 일단 2013년 에드워드 스노우든(Edward Snowden)이 NSA의 비밀문건을 공개한 사건이 일어나고서 두어 달 후, 이퀘이젼 그룹은 자신들이 그동안 사용해왔던 멀웨어 변종을 그레이피시(Grayfish)로 업그레이드시킨 일이 있었다. 더 발전된 버전이었다. “NSA의 비밀이 공개된 후 얼마 지나지 않아 멀웨어라는 무기들이 업그레이드 됐습니다. 그러나 그 둘 사이에 어떤 연관성이 있는지는 아직 정확히 밝혀내지는 못했습니다.”

정황상 미국의 개입을 의심케 하는 요소들이 또 있다. 이렇게 고도화된 멀웨어를 개발하려면 어마어마한 돈이 들어간다는 것과 이들이 구사한 영어가 모국어 수준이었다는 점, 주로 공격 대상이 된 나라들이 미국과 외교적으로 민감한 관계에 있다는 점이다. 하지만 아직 결정적인 증거는 나오지 않은 상태다. 이에 대해 NSA 측은 발언을 거부했다고 여러 매체가 보도하고 있다. “이들이 사용하는 멀웨어는 정말로 복잡합니다. 비슷한 것조차 보지 못했어요. 정부가 뒤를 봐주고 있지 않으면 나올 수 없는 작품입니다.”

하드드라이브의 해킹
이퀘이젼 그룹이 사용한 멀웨어가 가진 뛰어난 기능 중 하나는 맥스터, 시게이트, 히타치, 도시바 등 12종류가 넘는 하드드라이브를 다시 프로그래밍해 사실상 운영체제를 다시 쓰는 것이다. 백신 프로그램이나 멀웨어 감지 애플리케이션으로도 찾아내는 게 불가능하고, 게다가 하드드라이브를 포맷하거나 운영체제를 다시 설치해도 그대로 남아있다. 심지어 해커들은 이 멀웨어를 통해 하드드라이브의 섹터도 변경할 수 있다. 게다가 하드드라이브 일부에 훔친 정보를 임시로 저장해두는 기능까지 갖추고 있다. 

“바로 이런 하드드라이브 조작 기능 때문에 이퀘이젼 그룹을 지능형 지속 위협(APT) 계통의 신이라고 봐도 될 정도입니다. 이런 비슷한 기능은 듣도 보도 못했어요.” 하드드라이브 각 제조사들의 정보와 제작방식을 파악해 전부에서 통용될 수 있는 소프트웨어를 만든다는 건 이론상으로도 어렵기 짝이 없는 일이라는 것이다. “최고의 전문가가 몇 달에서 몇 년에 걸쳐야 겨우 내놓을 수 있는 결과물일겁니다.”

“이게 먼저 발견되었다면 스턱스넷과 플레임 때 충격을 받지 않았을 겁니다. 결국 이 멀웨어의 제작을 후원한 세력은 자금력이 빵빵한 게 분명합니다. 그밖에 다른 자원들도 풍부하고요.” 카스퍼스키를 비롯해 이퀘이젼 그룹의 멀웨어를 들여다 본 전문가들은 전부 혀를 내두른다. “이 정도면 예술의 경지입니다.”

그런데 이게 다가 아니다. 에어갭 네트워크에 있는 컴퓨터도 해킹할 수 있는 기능도 갖추고 있다. 즉 네트워크에 연결되어 있지 않은 별도의 시스템까지도 이퀘이젼 그룹의 사정범위 내에 있게 된다는 것이다. 이는 분석단계 중에서도 꽤나 나중에 발견된 기능이다. 그것도 우연한 기회였다. 휴스턴에서 열리는 컨퍼런스에 참석한 한 과학자가 제보한 사건 덕분이었는데, 컨퍼런스 주최측에서 보낸 것처럼 위장된 CD 자료를 받았다가 멀웨어에 감염되었던 것이다. 이런 공격은 USB를 통해서도 가능하다고 한다. “권한을 높이는 익스플로잇이 있었습니다. 스턱스넷의 그것과 동일했습니다.”

여러 가지를 종합해봤을 때 이퀘이젼 그룹은 전 세계 최고 수준을 가진 단 하나의 해킹 단체로 보인다고 라이우는 밝힌다. 카스퍼스키에서 분석해서 밝혀낸 내용조차 빙산의 일각에 불과할지도 모른다. “일단 저희가 분석한 건 윈도우 기반의 PC일 뿐입니다. 그밖에 맥용이나 아이폰용 멀웨어가 있음이 분명하고, 실제로 존재하는 것으로 알고 있습니다. 그렇다면 당연히 리눅스용 멀웨어도 있겠죠. 정확한 실체가 어느 정도인지 가늠할 수도 없으며, 그 배후세력이 정말로 궁금합니다.”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>