이퀘이젼 그룹이 사용한 플랫폼 이퀘이젼드러그, 차라리 OS
수많은 플러그인들의 다양한 기능과 높은 호환성, “대단!”

[보안뉴스 문가용] 지난 달 카스퍼스키가 세상에 공개했던 세계 최고 해킹 기술을 가진 팀인 이퀘이젼 그룹(Equation Group)이 차라리 운영체제라고 봐도 될 만큼 복잡한 소프트웨어 플랫폼으로부터 공격을 감행한 것으로 드러났다. 이 플랫폼은 다양한 요소와 플러그인으로 구성된, 입체적인 소프트웨어라고 카스퍼스키는 밝혔다.

이야기를 더 진행하기 앞서 지난 달 카스퍼스키가 공개한 내용부터 다시 한 번 짚고 넘어가자면, 이 이퀘이젼 그룹은 고도의 기술력을 보유하고 있으며 국가로 생각되는 대단한 배후세력의 든든한 후원을 받고 있다. 그리고 활동 기간은 최소 10년으로, 여태까지 단 한 번도 발각되지 않았다. 그러나 이퀘이젼 그룹이 사용하고 있는 이퀘이젼드러그(EquationDrug) 소프트웨어가 상세히 분석됨에 따라 이들이 활동을 시작한 것이 심지어 90년대일 거라는 추측에 무게가 실리고 있다.

카스퍼스키의 이고르 수멘코프(Igor Souvenkov)는 이퀘이젼 그룹이 C&C 서버를 등록한 시점이 이퀘이젼드러그가 등장한 것보다 이전이라며, 이것만 봐도 이들의 활동이 90년대부터 시작한 것을 알 수 있다고 주장했다. “게다가 이퀘이젼드러그 이전에는 이퀘이젼레이저(EquationLaser)라는 플랫폼도 있었습니다. 아직 이에 대해서는 상세히 분석하지는 못했습니다만.”

또한 지난 달 카스퍼스키의 보고서에 의하면 이퀘이젼 그룹은 이란의 핵 시설을 공격했던 스턱스넷과도 아주 밀접한 관계에 있다. 심지어 스턱스넷의 ‘마스터’라고 카스퍼스키는 표현했을 정도였다. 스턱스넷과의 가까운 연관성, 공격자가 영어를 주로 사용하고 있다는 점, 그리고 미국 동부 지역의 업무시간과 이퀘이젼 그룹의 활동 시간이 겹친다는 점을 들어 미국, 특히 NSA와의 연계성을 조심스럽게 제안하기는 했으나 아직 확실한 증거가 나온 것은 아니다.

가장 최근 이퀘이젼 그룹이 사용한 것으로 보이는 플랫폼의 이름은 그레이피시(GrayFish)다. 그레이피시에는 하드 드라이브를 리프로그래밍 시키는 등의 고난이도 기능을 가진 플러그인들이 다수 연결되어 있다. 카스퍼스키에 의하면 그레이피시는 이퀘이젼드러그를 대체한 플랫폼이긴 하지만 그렇다고 이퀘이젼드러그가 멸종된 것은 전혀 아니다. 게다가 2014년 이후 이퀘이젼 그룹은 종적을 감췄고 그 누구도 그들의 흔적을 발견하지 못하고 있어 더 정확한 분석은 불가능한 상태다. “아마도 더 은밀하고 비밀스럽게 숨어서 활동하는 방법을 개발한 것으로 보입니다.” 그나마 그 마지막 활동이라는 것도 서버를 등록한 것에 불과했다. 그 서버는 아직도 살아있으나 그 어떤 멀웨어도 감지되지 않고 있다.

그렇다면 그레이피시마저 뭔가 더 새로운 것으로 대체된 것은 아닐까? “현재 이퀘이젼 그룹이 사용하고 있는 소프트웨어가 무엇인지는 알아낼 길이 아직은 없습니다. 현대 보안계의 수사망이나 기술을 피해가는 방법을 마련한 것으로 추측됩니다.” 현재까지 알려진 바에 의하면 그레이피시는 이퀘이젼드러그의 완벽한 업그레이드 버전이다. 암호화와 부트키트가 더 강화되었다.

스텔스 기능이 있는 플러그인도 늘어났다. 카스퍼스키는 이퀘이젼드러그에 설치되는 플러그인을 약 30개 정도 찾아냈다고 밝혔다. 하지만 그건 그저 빙산의 일각일 가능성이 높다는 게 카스퍼스키의 설명이다. “이 플러그인들은 전부 상호 호환됩니다.”

서로의 호환성이 높은 이 플러그인들은 네트워크 트래픽 가로채기, DNS 레졸루션(resolution) 반전시키기, 컴퓨터 관리(시작 및 정지 프로세스, 드라이버 및 라이브러리 로딩 등), 파일과 디렉토리 관리, 정보 수집(OS 버전, 사용자 이름, 키보드 레이아웃, 작동하는 프로그램 목록 등), 네트워크 리소스 검색, WMI 정보 수집, 캐시 암호 수집, 프로세스 일람, 브라우저 내 사용자 활동의 라이브 모니터링, NTFS 파일 시스템 접근, 착탈식 저장소 감시, 패시브 네트워크 백도어, HDD 및 SDD 펌웨어 조정, 키로깅, 브라우저 히스토리 수집 등의 기능을 가지고 있다.

“전체 아키텍처가 OS나 다름이 없습니다. 커널 모드와 사용자 모드 요소가 아주 세밀하고 조심스럽게 호환되고 있습니다. 플러그인마다 고유의 ID와 버전 번호가 있으며 이것만 잘 봐도 어떤 기능을 가지고 있는 플러그인인지 알아낼 수 있습니다. 몇 가지 플러그인의 경우 다른 플러그인이 먼저 작동을 시작하지 않으면 기능을 발휘하지 않는 것도 있습니다.” 전문가들은 이번 분석보고서를 통해 “국가가 얼마나 부지런히 움직이고 있는지 확인할 수 있었다”고 분위기를 정리하고 있다.

한편 분석 과정 중에 여러 영단어를 찾아낼 수 있었다고 카스퍼스키는 밝히고 있다. “이름, 커널 오브젝트, 파일 이름, 약자, 리소스 코드 페이지 등 개발자가 영어에 굉장히 능숙하다는 건 확실합니다. 하지만 이런 텍스트 자체의 분량이 너무 적어서 영어가 개발자의 모국어인지 아닌지까지는 정확하게 판단하기가 어렵습니다.”
 
보고서 원문은 여기서 읽을 수 있다(영문).
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>