해킹팀과 거래하던 한 전문가의 메일 속 “실버라이트 버그”
반년여 넘긴 추적 끝에 찾아낸 취약점, 이미 공격에 사용되고 있어
[보안뉴스 문가용] 카스퍼스키가 마이크로소프트의 실버라이트(Silverlight)에서 제로데이 취약점을 찾아 나선 건 지난 7월부터다. 이탈리아의 해킹팀(Hacking Team)이 해킹을 당하면서 공개된 자료들 속에서 여태까지 세상에 알려지지 않은 다양한 취약점들이 상세하게 드러났기 때문이었다.
해킹팀은 표면적으로는 감시 및 보안을 전문으로 하는 기업이지만 동시에 제로데이 브로커로서도 수익을 챙기는 곳으로서, 작년 해킹 사건으로 인해 여러 가지 내부 자료들이 공개되는 일을 겪었다. 7월 10일, 아스 테크니카(Ars Technica)라는 매체는 해킹팀과 익스플로잇 제작자인 바이탈리 토로포브(Vitaliy Toropov)가 주고받은 이메일을 공개했다. 해당 메일에 따르면 토로포브는 플래시 제로데이를 4만 5천 달러에 판 것으로 보인다.
토로포브는 그 판매조건이 마음에 들었는지 해킹팀에 또 다른 제안을 했다. “약 2년 반 전에 만들어 놓은 실버라이트 익스플로잇”이었다. “앞으로 몇 년은 족히 써먹을만한 것”이라고 그는 해킹팀에게 소개했다. 이 이메일을 카스퍼스키가 보고, 스스로 파보자고 마음을 먹었던 것이다.
“실버라이트는 꽤나 재미있는 난제죠.” 카스퍼스키의 수석 연구원인 브라이언 바솔로뮤(Brian Bartholomew)가 설명한다. “일단 실버라이트 취약점이란 거 자체가 그리 흔한 게 아니고요. 또 실버라이트라 하면 플랫폼에 딱히 구애받지 않는 게 장점인 애플리케이션이라 실버라이트에서 발견된 취약점이라고 하면 마찬가지로 많은 플랫폼을 아우르는 것일 가능성이 높기 때문입니다. 어제 패치된 취약점은 CVE-2016-0034로, 맥 시스템과 모든 버전의 윈도우에서 사용되는 실버라이트 5와 실버라이트 5 개발자 런타임(Developer Runtime) 버전이 특히나 위험합니다. 이 취약점을 제대로 익스플로잇 하면 로그인 한 사용자와 동일한 권한을 갖게 되죠. 관리자 직책을 가진 사람들에겐 치명적인 버그라고 할 수 있습니다.”
하지만 당시 해킹팀은 토로포브의 실버라이트 버그에는 특별한 관심이 없어 보였다. 일단 그 어떤 자료가 첨부되어 오간 흔적이 발견되지 않았기 때문이다. 게다가 이렇게 취약점을 사고파는 사업을 하는 곳이 해킹팀만 있는 것도 아니다. 카스퍼스키는 “토로포브가 다른 브로커를 찾아 실버라이트 취약점을 팔았을 가능성도 있어 보인다”는 입장이다.
그래서 카스퍼스키는 토로포브가 OSVDB(Open Source Vulnerability Databse)에 무료로 공개한 다른 버그들을 자세히 살펴보기 시작했다. “보안 전문가들이 취약점을 판매하기만 하는 건 아닙니다. 판매하려다가도 포럼에 공개하기도 하고 그러죠. 직접 금전적인 수입을 얻는 것도 중요하지만 보안 커뮤니티 혹은 해커 커뮤니티에서 이름값을 올리는 것도 중요하거든요. 이름값이 있는 사람과만 거래하려는 사람들이 많거든요.”
과연 토로포브는 2013년에 실버라이트 취약점을 OSVDB에 공개했었다. 이 취약점이 해킹팀에 팔려고 했던 취약점이라고 볼 수는 없지만, 적어도 토로포브가 실버라이트 취약점에 대해 뭔가 알고 있다는 사실만큼은 증명된 것이다. 카스퍼스키의 연구원들은 이 코드를 면밀히 분석해 독특한 문자열 몇 개를 찾아냈다. 특정 오류의 디버깅 코드에서 독특한 언어 습관 및 철자법이 눈에 띄었다. 그 정보를 가지고 카스퍼스키는 추가 탐색을 시작했다. 그런 독특한 문자열이 포함된 익스플로잇이 있는지 찾기 시작한 것이다.
“그 걸 5~6개월 계속했어요. 그리고 결국 찾아냈죠.” 12월초 카스퍼스키는 CVE-2016-0034가 이미 널리 익스플로잇 되고 있다는 걸 발견했다. 물론 극히 제한된 조건 하에 이루어지는 표적형 공격이라 ‘널리’라고는 했지만 실제 피해자가 많은 건 아니었다. 공격자들은 악성 실버라이트 요소가 포함된 웹 사이트를 만들어 호스팅하고 있었고, 스피어피싱 기법을 통해 표적을 그 웹 사이트로 유도하고 있었다. (카스퍼스키는 아직까지 표적이나 스피어피싱 메시지를 공개하고 있지는 않다.)
“이런 악성 사이트를 운영하는 건 해당 취약점을 악용하는 한 예일 뿐입니다. 멀버타이징에도 응용이 얼마든지 가능합니다. 워터링홀 공격에도 쓸 수 있고요.”
그렇다면 이 익스플로잇은 토로포브 본인이 제작한 것일까? 혹은 토로포브는 판매만 한 것일까? “사실 정황상 토로포브가 직접 만든 것이 맞다고 봅니다만 그것이 100% 확신으로 이어지는 단계는 아닙니다. 토로포브가 발견한 걸 제3자가 이용했을 가능성도 아직은 충분히 존재합니다. 사이버 범죄 사건이 늘 그렇듯이, 이번에도 범인을 똑바로 지목하기에는 증거가 불충분합니다.”
그렇다면 토로포브는 억울한 누명을 쓰고 있는 것일까? “그 가능성도 없지 않죠. 다만 아직까지는 그가 유력한 용의자라는 쪽에 더 무게가 실리고 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
반년여 넘긴 추적 끝에 찾아낸 취약점, 이미 공격에 사용되고 있어
[보안뉴스 문가용] 카스퍼스키가 마이크로소프트의 실버라이트(Silverlight)에서 제로데이 취약점을 찾아 나선 건 지난 7월부터다. 이탈리아의 해킹팀(Hacking Team)이 해킹을 당하면서 공개된 자료들 속에서 여태까지 세상에 알려지지 않은 다양한 취약점들이 상세하게 드러났기 때문이었다.
해킹팀은 표면적으로는 감시 및 보안을 전문으로 하는 기업이지만 동시에 제로데이 브로커로서도 수익을 챙기는 곳으로서, 작년 해킹 사건으로 인해 여러 가지 내부 자료들이 공개되는 일을 겪었다. 7월 10일, 아스 테크니카(Ars Technica)라는 매체는 해킹팀과 익스플로잇 제작자인 바이탈리 토로포브(Vitaliy Toropov)가 주고받은 이메일을 공개했다. 해당 메일에 따르면 토로포브는 플래시 제로데이를 4만 5천 달러에 판 것으로 보인다.
토로포브는 그 판매조건이 마음에 들었는지 해킹팀에 또 다른 제안을 했다. “약 2년 반 전에 만들어 놓은 실버라이트 익스플로잇”이었다. “앞으로 몇 년은 족히 써먹을만한 것”이라고 그는 해킹팀에게 소개했다. 이 이메일을 카스퍼스키가 보고, 스스로 파보자고 마음을 먹었던 것이다.
“실버라이트는 꽤나 재미있는 난제죠.” 카스퍼스키의 수석 연구원인 브라이언 바솔로뮤(Brian Bartholomew)가 설명한다. “일단 실버라이트 취약점이란 거 자체가 그리 흔한 게 아니고요. 또 실버라이트라 하면 플랫폼에 딱히 구애받지 않는 게 장점인 애플리케이션이라 실버라이트에서 발견된 취약점이라고 하면 마찬가지로 많은 플랫폼을 아우르는 것일 가능성이 높기 때문입니다. 어제 패치된 취약점은 CVE-2016-0034로, 맥 시스템과 모든 버전의 윈도우에서 사용되는 실버라이트 5와 실버라이트 5 개발자 런타임(Developer Runtime) 버전이 특히나 위험합니다. 이 취약점을 제대로 익스플로잇 하면 로그인 한 사용자와 동일한 권한을 갖게 되죠. 관리자 직책을 가진 사람들에겐 치명적인 버그라고 할 수 있습니다.”
하지만 당시 해킹팀은 토로포브의 실버라이트 버그에는 특별한 관심이 없어 보였다. 일단 그 어떤 자료가 첨부되어 오간 흔적이 발견되지 않았기 때문이다. 게다가 이렇게 취약점을 사고파는 사업을 하는 곳이 해킹팀만 있는 것도 아니다. 카스퍼스키는 “토로포브가 다른 브로커를 찾아 실버라이트 취약점을 팔았을 가능성도 있어 보인다”는 입장이다.
그래서 카스퍼스키는 토로포브가 OSVDB(Open Source Vulnerability Databse)에 무료로 공개한 다른 버그들을 자세히 살펴보기 시작했다. “보안 전문가들이 취약점을 판매하기만 하는 건 아닙니다. 판매하려다가도 포럼에 공개하기도 하고 그러죠. 직접 금전적인 수입을 얻는 것도 중요하지만 보안 커뮤니티 혹은 해커 커뮤니티에서 이름값을 올리는 것도 중요하거든요. 이름값이 있는 사람과만 거래하려는 사람들이 많거든요.”
과연 토로포브는 2013년에 실버라이트 취약점을 OSVDB에 공개했었다. 이 취약점이 해킹팀에 팔려고 했던 취약점이라고 볼 수는 없지만, 적어도 토로포브가 실버라이트 취약점에 대해 뭔가 알고 있다는 사실만큼은 증명된 것이다. 카스퍼스키의 연구원들은 이 코드를 면밀히 분석해 독특한 문자열 몇 개를 찾아냈다. 특정 오류의 디버깅 코드에서 독특한 언어 습관 및 철자법이 눈에 띄었다. 그 정보를 가지고 카스퍼스키는 추가 탐색을 시작했다. 그런 독특한 문자열이 포함된 익스플로잇이 있는지 찾기 시작한 것이다.
“그 걸 5~6개월 계속했어요. 그리고 결국 찾아냈죠.” 12월초 카스퍼스키는 CVE-2016-0034가 이미 널리 익스플로잇 되고 있다는 걸 발견했다. 물론 극히 제한된 조건 하에 이루어지는 표적형 공격이라 ‘널리’라고는 했지만 실제 피해자가 많은 건 아니었다. 공격자들은 악성 실버라이트 요소가 포함된 웹 사이트를 만들어 호스팅하고 있었고, 스피어피싱 기법을 통해 표적을 그 웹 사이트로 유도하고 있었다. (카스퍼스키는 아직까지 표적이나 스피어피싱 메시지를 공개하고 있지는 않다.)
“이런 악성 사이트를 운영하는 건 해당 취약점을 악용하는 한 예일 뿐입니다. 멀버타이징에도 응용이 얼마든지 가능합니다. 워터링홀 공격에도 쓸 수 있고요.”
그렇다면 이 익스플로잇은 토로포브 본인이 제작한 것일까? 혹은 토로포브는 판매만 한 것일까? “사실 정황상 토로포브가 직접 만든 것이 맞다고 봅니다만 그것이 100% 확신으로 이어지는 단계는 아닙니다. 토로포브가 발견한 걸 제3자가 이용했을 가능성도 아직은 충분히 존재합니다. 사이버 범죄 사건이 늘 그렇듯이, 이번에도 범인을 똑바로 지목하기에는 증거가 불충분합니다.”
그렇다면 토로포브는 억울한 누명을 쓰고 있는 것일까? “그 가능성도 없지 않죠. 다만 아직까지는 그가 유력한 용의자라는 쪽에 더 무게가 실리고 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
