이전에 등장해 여러 사건 일으켰으나 소스코드 유출된 멀웨어 발견돼
이탈리아 보안 업체 해킹 팀의 악명 높은 감시 툴도 포함되어 있어

[보안뉴스 문가용 기자] 최근 새로운 사이버 정찰용 툴킷이 발견됐다. 이 툴킷은 말레이시아 정부를 표적으로 한 공격에 사용되었는데, 그 속을 들여다보면 이미 널리 공개된 해킹 툴들로 구성되어 있다고 한다. 보안 업체 이셋(ESET)이 이를 분석하여 알려왔다.


[이미지 = iclickart]

이 툴킷이 제일 먼저 목격된 것은 2018년 6월이다. 이셋은 이 툴을 보자마자 큰 관심을 기울였는데, 그 이유는 익숙한 코드가 발견됐기 때문이다. 바로 고스트랫(Gh0st RAT)과 넷봇 어태커(NetBot Attacker)라는 악성 툴들에서 나온 것들이었다.

이셋의 보안 전문가 토마스 가돈(Tomáš Gardoň)과 필립 카프카(Filip Kafka)는 자사 블로그를 통해 “고스트랫과 넷봇 어태커라는 멀웨어 패밀리 모두 2008년에 개발된 것으로 큰 사건들을 여러 차례 일으켜 왔다”고 설명했다. “또한 소스코드가 온라인에 유출되었다는 공통점을 가지고 있습니다.”

말레이시아 정부를 공격한 툴킷에서 이 두 가지 멀웨어의 코드만이 포함되어 있었던 건 아니다. 이탈리아의 악명 높은 보안 업체인 해킹팀(Hacking Team)이 개발한 원격 통제 시스템(Remote Control System, RCS)이라는 감시 및 검열 도구도 발견됐다. 이 RCS 툴 역시 소스코드가 유출되는 일이 있었고, 그 후 여러 멀웨어가 파생된 바 있다.

물론 코드를 서로서로 재사용해서 멀웨어나 툴킷을 새롭게 만들어내는 건 흔히 있는 일이다. 실력은 낮은데 목표는 높은 공격자들 사이에서 특히 두드러지는 현상이다. 반대로 정부 기관을 노린 고도의 표적화 공격에서는 해커들이 직접 만든 툴들이 발견되는 게 보통이다. 즉 이번 말레이시아 공격은 여러 모로 ‘반대의 모습’들이 나타났었던 것이다.

“말레이시아 기관을 노린 공격자들은 스스로 툴을 개발할 정도의 실력은 없었던 것으로 보입니다. 그러면서도 정부 기관을 노린 대범함을 가지고 있기도 했죠. 가장 적은 노력으로 가장 큰 효과를 거두고 싶었던 것이 아닐까 합니다. RCS까지 차용한 걸 보면 눈에 띄지 않기 위한 기술조차 남들에게서 빌리려고 했던 것을 알 수 있습니다.”

그러나 툴킷에 있던 모든 기능들이 다 남들에게서 빌려온 건 아니었다. “파일을 훔쳐내는 기능을 가진 독립 형태의 멀웨어가 하나 있었는데, 여태까지 공개된 악성 툴들과는 그 어떤 유사점도 발견할 수가 없었습니다.”

이셋의 전문가들에 의하면 이 툴킷은 백도어처럼 작동한다. 즉 공격자들이 파일을 빼낼 수도 있고, 업로드할 수도 있도록 통로가 되어준다는 것이다. 또한 파일의 삭제와 수정 기능도 가지고 있으며, 마우스와 키보드에서 발생하는 활동들을 모니터링하고 흉내 내는 것도 가능하다. “그 외에도 정보 수집, 킬 프로세스 실행, 시스템 셧다운 및 재시동도 가능합니다.”

이 멀웨어는 대부분 보안 솔루션들에 의해 탐지되어 차단됐다. 그러나 말레이시아 정부 기관에 피해가 아주 없지는 않았다. “저희가 관찰한 바에 의하면 공격 시도는, 침해된 네트워크에서부터 발생하고 있었습니다. 그렇다는 건, 공격자들이 네트워크 내 컴퓨터나 서버를 침해한 후 횡적으로 움직인다는 뜻이 됩니다.”

또한 공격자들이 최초 침투에 있어서 다양한 방법들을 사용하고 있다는 것도 발견했다. “그렇다는 건 말레이시아 정부를 노린 게 우연이 아닐 확률이 높다는 뜻입니다. 누군가 작정하고 말레이시아 정부에 대한 정찰을 시도한 겁니다.” 하지만 아직 공격 세력에 대해서는 알려진 바가 없다.

3줄 요약
1. 지난 6월 말레이시아 정부 기관 노린 공격 발견되면서, 새로운 툴킷 나옴.
2. 이 툴킷은 소스코드가 유출되거나 공개된 툴들로 구성됨.
3. 툴킷은 백도어처럼 사용돼 여러 가지 정찰 기능을 수행할 수 있음. 표적형 공격일 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>