플레임 처음 발견한 전문가, “NSA의 것일 가능성 있어”
현재 데이터 샘플은 공개, 나머지는 경매로 팔 계획

[보안뉴스 문가용] 셰도우 브로커스(Shadows Brokers)라는 해킹 단체가 NSA를 해킹했다고 주장하며 보안 업계에 커다란 파란을 일으키고 있다. 비 영어권 단체로 보이는 셰도우 브로커스는 최근 블로그를 통해 NSA의 해킹 기능을 담당하고 있는 것으로 보이는 이퀘이젼 그룹(Equation Group)의 사이버 무기들을 공개한다며, 256MB의 첨부파일을 함께 올렸다. 해당 포스트는 삭제된 상태이나 캐시 버전은 아직 남아있다.



해당 페이지의 캐시 버전은 여기서 열람이 가능하다. 또한 이퀘이젼 그룹은 작년 보안 업체인 카스퍼스키가 발견한 해킹 단체로 당시 “가장 뛰어난 기술을 보유한 해커들”이라고 평한 바 있고 이를 본지에서도 보도한 바 있다. 무엇보다 악명이 자자한 스턱스넷(Stuxnet)과 플레임(Flame) 멀웨어와 깊은 관련이 있는 것으로 의심받고 있는 그룹이기도 하다.

현재 많은 보안 전문가들이 이 첨부파일을 다운로드 받아 분석 중에 있다. 현재까지 밝혀진 내용은 1) 2010~2013년의 자료로 2) 대부분 배치 스크립트 및 형편없이 코딩된 파이선 스크립트이며 3) 아직 이퀘이젼 그룹의 것이라고 확신할 수는 없으나 4) 해당 자료의 원 출처가 대단한 기술력을 보유한 해킹 단체인 것만은 확실하다는 것이다. 또한 5) 임플란트, 익스플로잇 등 라우터와 방화벽을 공격하고 통제하는 데 필요한 툴들이 들어 있고, 6) 이 툴들로 공략이 가능한 제품의 제조사들은 시스코, 주니퍼, 포티게이트, 탑섹(Topsec) 등이며 7) 샘플 익스플로잇 중 하나인 ESPL: ESCALATEPLOWMAN의 코드 내에 들어있던 IP 주소 중 하나는 미국 국방부의 그것과 일치했다.

플레임(Flame)을 최초로 발견한 것으로 유명해진 헝가리 보안업체 크라이시스(CrySys)의 벤샤스 볼디짜르(Bencsáth Boldizsár)는 Ars Technica라는 해외 매체를 통해 “전부는 아니지만 샘플을 몇 개 들여다봤고, NSA의 툴셋이 맞는 것으로 보인다”는 의견을 전달했다. 그러나 아직까지는 전문가들 사이에서 의견이 분분한 상태다.

한편, 셰도우 브로커스는 256MB 파일이 샘플일 뿐이라며 더 많은 데이터를 보유하고 있다고 주장하고 있다. 그러면서 나머지 정보는 경매로 판매할 예정이라고 밝혔다. 하지만 전문가들 대부분 “팔지 못할 확률이 높다”고 보고 있다. 미국 정부의 것일지도 모르는 민감한 데이터를 사들인다는 건 미국 정부를 적으로 돌리는 일인데, 누가 그런 위험을 감수하겠느냐는 것이다. 게다가 셰도우 브로커스의 진짜 목적 역시 돈이 아니라 미국 정부 및 NSA를 망신시키고자 함이라는 게 전문가들의 의견이다.

셰도우 브로커스는 서툰 영어로 다음과 같은 포스팅을 올렸다.
“우리는 이퀘이젼 그룹 트래픽을 쫓는다. 우리는 이퀘이젼 그룹 소스를 많이 찾았다. 우리는 이퀘이젼 그룹을 해킹한다. 우리는 이퀘이젼 그룹의 사이버 무기를 많이 많이 찾는다. 우리는 당신들이게 이퀘이젼 그룹의 사이버 무기를 공짜로 준다. 이것만 해도 좋은 증거다, 아닌가? 한 번 써봐라!!! 파괴를 많이 할 수 있을 것이다. 침투를 많이 할 수 있을 것이다. 많은 말을 할 수 있을 것이다. 하지만 이게 다가 아니다. 더 좋은 건 경매에 들어간다.”

보안 업체인 리스크 베이스드 시큐리티(Risk Based Security)는 이것이 이른바 가짜 깃발 작전(false flag operations)이라고 보고 있다. 가짜 깃발 작전이란 적군의 깃발을 써서 아군이나 적군의 공격 초점을 흐리게 하는 거다. “공격자가 그럴듯한 증거를 생산하는 건 국가 후원을 받는 사이버 작전 부대들에게서 흔히 나타나는 현상이죠. 왜 NSA를 표적으로 삼은 건지는 확실히 모르겠지만 시선 분산용 작전일 수도 있다는 걸 감안해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>