스파이웨어라는 이름으로 정부 기관들에 은밀히 유통되는 합법적인 소프트웨어 제품들이 이따금씩 발견될 때마다 논란이 인다. 최근 구글이 이런 합법적이지만 위험한 소프트웨어를 하나 더 발견했다. 배후에는 스페인의 기업체가 있었다.
[보안뉴스 문가용 기자] 구글의 위협분석그룹(TAG)이 새로운 사이버 공격용 프레임워크를 발견했다. 이 프레임워크의 이름은 헬리코니아(Heliconia)이며, 크롬, 파이어폭스, 마이크로소프트 디펜더에서 발견된 각종 취약점들을 익스플로잇 하는 기능을 가지고 있다. 기존에 알려진 취약점들은 물론 제로데이까지 익스플로잇 한다고 한다.
[이미지 = utoimage]
그런데 이 프레임워크의 개발자가 정식으로 허가가 난 기업체인 것으로 구글은 의심하고 있다. 회사의 이름은 바리스톤IT(Variston IT)로, 스파이웨어 사업을 하는 곳이다. 사실 스파이웨어는 합법적으로 소수의 고객들에게 판매되는 ‘소프트웨어 제품’이긴 하지만 멀웨어와 경계 구분이 잘 되지 않는다는 특징을 가지고 있다. 애초에 바리스톤IT가 ‘회색 지대’에서 활동하는 기업이라는 것이다.
이처럼 악성 해커들과 거의 비슷한 사업 모델을 가지고 있는 소프트웨어 기업들은 여럿 존재한다. 직접적인 해킹 범죄를 저지르지만 않을 뿐 멀웨어나 다름 없는 제품을 만들어 판매한다. 하지만 고객들도 이런 회사들과의 거래를 철저히 숨기는 편이라 이 분야의 시장에 대해 알려진 사실은 많지 않다. 다만 꽤나 번창하고 있다는 추정이 있을 뿐이다.
헬리코니아는 크게 세 가지 모듈로 구성되어 있는 것으로 분석됐다.
1) 헬리코니아 노이즈(Heliconia Noise) : 크롬 브라우저를 침해하여 샌드박스를 탈출하고 멀웨어를 심는 기능을 가지고 있다.
2) 헬리코니아 소프트(Heliconia Soft) : 윈도 디펜더의 취약점인 CVE-2021-42298에 대한 익스플로잇 도구가 내포된 PDF를 심는 기능을 가지고 있다. 익스플로잇에 성공할 경우 공격자는 시스템 권한을 갖게 되고 원격에서 코드를 실행할 수 있게 된다.
3) 헬리코니아 파일즈(Heliconia Files) : 파이어폭스 브라우저의 여러 취약점들을 연쇄적으로 익스플로잇 한다. 이 취약점들 중에는 CVE-2022-26485가 포함되어 있다.
구글 위협분석그룹은 익명의 제보를 통해 헬리코니아의 존재에 대해 알게 됐다. 내용에 흥미를 갖게 된 팀원들이 조사를 시작했고, 그러면서 헬리코니아 소스코드에서 바리스톤IT와 관련된 스크립트를 찾아냈다고 한다. 바리스톤IT는 스페인 바르셀로나에 본부를 두고 있는 회사로, “커스텀 보안 솔루션 제작”에 특화되어 있다고 스스로를 홍보하고 있다.
이들이 광고하는 ‘커스텀 보안 솔루션’이 바로 스파이웨어다. 스파이웨어는 주로 정부 기관 및 사법 기관에 수사 도구로서 판매된다. 수사 기관들이 이 스파이웨어를 범인 체포에만 활용한다면 매우 좋을 것이나 지난 수년 동안 수집된 증거에 따르면 그렇지 않다. 오히려 권력에 있는 사람들이 정적이나 여론을 불리하게 만들어가는 매체와 시민단체 등을 감시하는 데 활용하는 경우가 훨씬 더 많다. 게다가 스파이웨어 개발사치고 자신의 고객이 정말 사법 기관인지, 어떤 목적으로 도구를 사용하는지 조사하고 검사하는 경우는 거의 없다.
스파이웨어 개발사 중 가장 유명한 건 페가수스(Pegasus)를 개발한 이스라엘 업체 NSO그룹(NSG Group)이다. 페가수스가 수많은 국가들의 권력자들을 돕는 데 활용되어 왔다는 폭로는 꾸준히 나오고 있으며, 이 때문에 미국은 오랜 동맹인 이스라엘의 기업임에도 NSO그룹을 제재 대상으로 삼고 있다. 페가수스는 제일 처음 멀웨어로 보안 업계에 알려지기 시작했다. 구글은 “바리스톤IT도 전형적인 스파이웨어 개발사”라며 “마냥 정상적인 사업을 하는 기업으로 보기에도 애매하고 그렇다고 불법 활동을 하는 자들로 치부하기도 애매한 포지셔닝을 가지고 있다”고 설명한다.
“사업용 감시 도구를 판매하는 기업과, 그런 기업들로 구성된 산업은 최근 몇 년 동안 크게 번성했습니다. 이런 도구들이 많아지면 많아질수록 일반적인 인터넷 사용자들이 위험해집니다. 현 법 체계에서는 이 산업에서 출시되는 도구들이 불법적인 제품이 아닐 수 있습니다만, 사실상 대단히 위험한 물건이며 이를 사용하는 자들은 사이버 범죄자들과 크게 다르지 않은 행동 양식을 보여줍니다.” 구글의 설명이다.
다행이라면, 아직까지 헬리코니아의 모듈들이 실제 공격에 활용된 사례가 아직까지는 없는 것으로 보인다는 것이다. 하지만 구글은 꽤나 오래 전에 공격이 실시되어 지금 발견되지 않는 것일 수도 있고, 매우 소수의 표적 공격에만 활용돼 찾기가 힘든 것일 수 있다고 경고했다.
3줄 요약
1. 새로운 사이버 공격 프레임워크인 헬리코니아가 발견됨.
2. 추적해 보니 스페인의 스파이웨어 회사가 최초 개발자였음.
3. 스파이웨어는 사실상 법망을 교묘히 피한 합법적 멀웨어.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 구글의 위협분석그룹(TAG)이 새로운 사이버 공격용 프레임워크를 발견했다. 이 프레임워크의 이름은 헬리코니아(Heliconia)이며, 크롬, 파이어폭스, 마이크로소프트 디펜더에서 발견된 각종 취약점들을 익스플로잇 하는 기능을 가지고 있다. 기존에 알려진 취약점들은 물론 제로데이까지 익스플로잇 한다고 한다.
[이미지 = utoimage]
그런데 이 프레임워크의 개발자가 정식으로 허가가 난 기업체인 것으로 구글은 의심하고 있다. 회사의 이름은 바리스톤IT(Variston IT)로, 스파이웨어 사업을 하는 곳이다. 사실 스파이웨어는 합법적으로 소수의 고객들에게 판매되는 ‘소프트웨어 제품’이긴 하지만 멀웨어와 경계 구분이 잘 되지 않는다는 특징을 가지고 있다. 애초에 바리스톤IT가 ‘회색 지대’에서 활동하는 기업이라는 것이다.
이처럼 악성 해커들과 거의 비슷한 사업 모델을 가지고 있는 소프트웨어 기업들은 여럿 존재한다. 직접적인 해킹 범죄를 저지르지만 않을 뿐 멀웨어나 다름 없는 제품을 만들어 판매한다. 하지만 고객들도 이런 회사들과의 거래를 철저히 숨기는 편이라 이 분야의 시장에 대해 알려진 사실은 많지 않다. 다만 꽤나 번창하고 있다는 추정이 있을 뿐이다.
헬리코니아는 크게 세 가지 모듈로 구성되어 있는 것으로 분석됐다.
1) 헬리코니아 노이즈(Heliconia Noise) : 크롬 브라우저를 침해하여 샌드박스를 탈출하고 멀웨어를 심는 기능을 가지고 있다.
2) 헬리코니아 소프트(Heliconia Soft) : 윈도 디펜더의 취약점인 CVE-2021-42298에 대한 익스플로잇 도구가 내포된 PDF를 심는 기능을 가지고 있다. 익스플로잇에 성공할 경우 공격자는 시스템 권한을 갖게 되고 원격에서 코드를 실행할 수 있게 된다.
3) 헬리코니아 파일즈(Heliconia Files) : 파이어폭스 브라우저의 여러 취약점들을 연쇄적으로 익스플로잇 한다. 이 취약점들 중에는 CVE-2022-26485가 포함되어 있다.
구글 위협분석그룹은 익명의 제보를 통해 헬리코니아의 존재에 대해 알게 됐다. 내용에 흥미를 갖게 된 팀원들이 조사를 시작했고, 그러면서 헬리코니아 소스코드에서 바리스톤IT와 관련된 스크립트를 찾아냈다고 한다. 바리스톤IT는 스페인 바르셀로나에 본부를 두고 있는 회사로, “커스텀 보안 솔루션 제작”에 특화되어 있다고 스스로를 홍보하고 있다.
이들이 광고하는 ‘커스텀 보안 솔루션’이 바로 스파이웨어다. 스파이웨어는 주로 정부 기관 및 사법 기관에 수사 도구로서 판매된다. 수사 기관들이 이 스파이웨어를 범인 체포에만 활용한다면 매우 좋을 것이나 지난 수년 동안 수집된 증거에 따르면 그렇지 않다. 오히려 권력에 있는 사람들이 정적이나 여론을 불리하게 만들어가는 매체와 시민단체 등을 감시하는 데 활용하는 경우가 훨씬 더 많다. 게다가 스파이웨어 개발사치고 자신의 고객이 정말 사법 기관인지, 어떤 목적으로 도구를 사용하는지 조사하고 검사하는 경우는 거의 없다.
스파이웨어 개발사 중 가장 유명한 건 페가수스(Pegasus)를 개발한 이스라엘 업체 NSO그룹(NSG Group)이다. 페가수스가 수많은 국가들의 권력자들을 돕는 데 활용되어 왔다는 폭로는 꾸준히 나오고 있으며, 이 때문에 미국은 오랜 동맹인 이스라엘의 기업임에도 NSO그룹을 제재 대상으로 삼고 있다. 페가수스는 제일 처음 멀웨어로 보안 업계에 알려지기 시작했다. 구글은 “바리스톤IT도 전형적인 스파이웨어 개발사”라며 “마냥 정상적인 사업을 하는 기업으로 보기에도 애매하고 그렇다고 불법 활동을 하는 자들로 치부하기도 애매한 포지셔닝을 가지고 있다”고 설명한다.
“사업용 감시 도구를 판매하는 기업과, 그런 기업들로 구성된 산업은 최근 몇 년 동안 크게 번성했습니다. 이런 도구들이 많아지면 많아질수록 일반적인 인터넷 사용자들이 위험해집니다. 현 법 체계에서는 이 산업에서 출시되는 도구들이 불법적인 제품이 아닐 수 있습니다만, 사실상 대단히 위험한 물건이며 이를 사용하는 자들은 사이버 범죄자들과 크게 다르지 않은 행동 양식을 보여줍니다.” 구글의 설명이다.
다행이라면, 아직까지 헬리코니아의 모듈들이 실제 공격에 활용된 사례가 아직까지는 없는 것으로 보인다는 것이다. 하지만 구글은 꽤나 오래 전에 공격이 실시되어 지금 발견되지 않는 것일 수도 있고, 매우 소수의 표적 공격에만 활용돼 찾기가 힘든 것일 수 있다고 경고했다.
3줄 요약
1. 새로운 사이버 공격 프레임워크인 헬리코니아가 발견됨.
2. 추적해 보니 스페인의 스파이웨어 회사가 최초 개발자였음.
3. 스파이웨어는 사실상 법망을 교묘히 피한 합법적 멀웨어.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
