플러그엑스라는 중국 해커들의 상징과 같은 멀웨어가 미국 내 수만 대 컴퓨터에서 한꺼번에 사라졌다. FBI가 은밀한 공작을 펼쳤기 때문이다. 얼마나 은밀했는지 구제 받은 피해자들조차 그 사실을 눈치 못 챘다.
3줄 요약
1. FBI와 프랑스 사법 기관 공조로 미국 내 플러그엑스 삭제됨.
2. 플러그엑스는 중국 해커들의 전용 멀웨어.
3. 치열한 공작 있었지만 정작 사용자들은 아무 것도 모름.
[보안뉴스 문가용 기자] 오래 전부터 중국 해커들이 곧잘 사용해 오던 멀웨어가 있다. 플러그엑스(PlugX)라고 하는데, 얼마나 중국 해커들 사이에서 인기가 높은지 보안 사건 조사 중 플러그엑스가 발견되면 범인은 99% 중국인으로 확정 지어질 정도다. 요주의 멀웨어라고 할 수 있다. 최근 미국의 사법기관인 FBI가 미국 내 있는 수많은 시스템에서 이 플러그엑스를 찾아서 삭제하는 일이 있었다.
[이미지 = gettyimagesbank]
플러그엑스?
중국 해커들의 대표 멀웨어 플러그엑스는 최소 2012년부터 관찰되어 온, 유서 깊은 악성 도구다. 그 동안 전 세계 수천 대의 윈도 기반 컴퓨터들을 감염시켰다. 최근 미국 펜실베이니아 주 법원에서 공개한 문서에 의하면 플러그엑스는 “원격에서 피해자 시스템에 접속해 명령을 실행하고, 저장된 파일과 기타 정보를 탈취하는 기능을 가지고 있다”고 한다. 또한 여러 중국 해커들이 공통으로 사용하는 경향이 있지만 이번에 FBI가 노린 건 “무스탕판다(Mustang Panda)와 트윌타이푼(Twill Typhoon)이라는 해킹 조직이 사용한 버전”이라고 한다.
FBI는 플러그엑스가 미국 내에서 국가 안보에 위협이 될 만큼 활개치고 있다고 보고 있으며, 이를 전국적으로 삭제하는 작업에 착수했다. 하지만 아무리 국가 기관이라 해도 국민의 사적 소유물인 컴퓨터에 함부로 접근할 수는 없었다. “연방 형사 소송 절차 제41조(b)(6)(B)에 따라 장치를 원격으로 검색하고 해킹 도구를 압수(삭제)할 수 있는 권한을 법원에 요청했습니다.”
법원이 FBI의 요청을 받아들인 이유
FBI는 법원을 설득하기 위해 플러그엑스의 악성 기능과 영향력에 대해 설명했다. “컴퓨터의 USB 포트를 통해 확산되는 멀웨어로, 연결된 USB 장치를 감염시킨 뒤 해당 USB 장치가 다른 윈도 컴퓨터에 연결될 때 확산됩니다. 그렇게 피해자의 시스템에 감염된 플러그엑스는 레지스트리 키를 생성하여 피해자 컴퓨터가 부팅될 때마다 자동으로 실행될 수 있도록 합니다. 피해자는 이러한 상황을 인지 못하는 게 보통입니다. 감염된 상태에서 인터넷에 접속하면 플러그엑스는 C&C 서버와 연결을 시도합니다. 연결 대상이 되는 C&C 서버의 IP주소는 플러그엑스 내에 하드코딩 되어 있습니다. C&C 서버는 플러그엑스를 통해 여러 가지 명령을 전달할 수 있습니다.”
C&C 서버가 피해 컴퓨터에 원격으로 전달할 수 있는 명령에는 여러 가지가 있는데, 특히 다음이 치명적이라고 법원 문서에는 명시되어 있다.
1) 피해 컴퓨터의 시스템 정보 수집
2) 파일 시스템 탐색
3) 파일 업로드, 다운로드, 전송, 삭제
보통 공격자는 이런 명령들을 순차적으로 실행하여 악성 기능을 수행하는데, 주로 피해자 식별, 정보 파악, 탈취로 이어진다.
또한 FBI는 무스탕판다가 미국의 여러 민간 기업과 정부 기관의 시스템에 침투한 것을 확신하고 있기도 했다. 구체적인 피해자들을 다음과 같이 꼽았다.
1) 2024년, 한 유럽 해운 회사
2) 2021~23년, 유럽 정부 다수
3) 전 세계 중국 반체제 인사 및 단체
4) 인도태평양 지역의 정부 기관(대만, 홍콩, 일본, 한국, 몽골, 인도, 미얀마, 인도네시아, 필리핀, 태국, 베트남, 파키스탄 등)
FBI가 추적하는 플러그엑스 변종의 경우 45.142.166.112라는 IP 주소를 가진 C&C 서버와 통신하도록 설계되어 있었다고 한다. “2023년 9월 이후 미국 내에서는 최소 4만5000개의 IP 주소와 해당 C&C 서버가 한 번 이상 접촉한 것으로 조사됐습니다. 플러그엑스에 감염된 컴퓨터들이 공격자들의 C&C 서버와 연결하려는 것 외에 다른 시나리오가 있을 가능성은 낮습니다. 이 컴퓨터들은 펜실베이니아 동부 지구를 포함해 다섯 개 이상의 연방 지구와 연결된 IP 주소를 사용하고 있었습니다. 즉 무스탕판다에 의한 감염이 이 동부 지역에 집중되어 있었다고 볼 수 있습니다.”
삭제 작업, 어떻게 진행했나
그런데 FBI보다 먼저 45.142.166.112로의 접근 권한을 얻은 기관이 있었다. 프랑스의 사법 기관이었다. 접근해 조사를 해보니 해당 C&C 서버에는 플러그엑스로 보낼 수 있는 각종 명령들이 저장되어 있었다. “그런데 그 중에 자체 삭제 명령도 있었습니다. 이 명령은 다양한 것들을 지우는 데 사용되고 있었습니다만 특히 플러그엑스가 피해자 컴퓨터에서 생성한 파일과, 공격이 자동으로 시작되게 하는 레지스트리 키를 삭제하게 함으로써 공격의 흔적을 말끔하게 청소하는 역할을 하고 있었습니다. 플러그엑스 자체와, 플러그엑스가 생성한 디렉토리와 임시 파일들도 당연히 사라지게 만들었습니다.”
FBI는 이러한 정보를 입수한 뒤 프랑스 수사 기관의 협조로 이 자체 삭제 명령을 실험할 수 있었다. “여러 번 실험한 끝에 자체 삭제 명령이 피해자 장비의 정상적인 기능이나 파일에는 영향을 미치지 않는다는 것을 확인할 수 있었습니다. 플러그엑스와 관련된 것들만 지워내는 명령이었던 것입니다.”
그렇다면 답은 간단했다. FBI와 프랑스 수사 기관이 이 명령을 플러그엑스에 전부 전달만 하면 플러그엑스는 저절로 사라질 것이었다. 법원이 공개한 문건에 따르면 “FBI와 프랑스 수사 기관은 플러그엑스 변종에 감염된 대상 장치에 자체 삭제 명령을 보냈다”고 한다.
하지만 해당 C&C 서버로부터 명령을 받을 플러그엑스가 반드시 미국 영토 내에만 있으리라고 보장할 수는 없었다. 그래서 삭제 명령을 보내기 전에 감염된 컴퓨터의 IP 주소를 요청했고(이는 플러그엑스의 기본 기능 중 하나였다), 되돌려 받은 응답을 통해 미국 내 컴퓨터들을 골라낼 수 있었다. “그런 이후에 FBI는 C&C 서버를 통해 미국 내에 존재하는 플러그엑스를 삭제할 수 있었습니다.” 이 작업은 14일 동안 반복적으로 수행됐고, 피해자들은 아직도 자신들의 컴퓨터에서 무슨 일이 있었는지 모르고 있는 것으로 알려져 있다.
그래서?
멀웨어 감염 사실을 피해자 스스로가 알아채는 건 대단히 힘든 일이다. 보안에 대한 전문적인 경험이나 스킬이 있지 않는 이상, 전문 기술을 익히고 다년 간의 실전 경험을 쌓아온 해커들의 움직임을 파악할 수 없는 게 당연하다. 적국의 해커든, 우리 편의 해커든 마찬가지다. 그들이 사용자의 레이더 망에 포착될 때는 크게 두 가지 경우에 한해서다. 그들이 들켜주거나, 프로가 아니거나.
들켜주는 경우는 공격자들이 작전상 들키는 걸 개의치 않을 때다. 랜섬웨어나 삭제형 멀웨어를 동원했을 때, 혹은 디도스 공격을 할 때, 공격자들은 피해자가 공격 당했다는 사실을 알아주길 원한다. 핵티비스트 공격을 받았을 때도 마찬가지다. 공격자들은 자신의 메시지를 효과적으로 전달하기 위해 피해자만이 아니라 온 세상이 피해 사실을 알아채도록 애쓴다.
아마추어 해커들의 공격이 사용자들의 눈이나 감에 걸리는 경우도 상당히 많다. 이들은 프로 해커들을 따라하거나 해킹을 이제 막 공부해본 부류다. 사이버 공간에서 진행되는 거의 모든 해킹 공격들이 바로 이 아마추어들에 의해 행해진다. 국가 정부의 지원을 받을 정도로 능숙한 APT 조직의 공격은 알아채기 힘들지 몰라도 아마추어들의 공격은 충분히 파악, 차단, 대처가 가능하다. ‘사이버 보안에 모두가 참여해야 한다’는 말은 ‘아마추어 공격 정도는 막을 수 있어야 한다’는 뜻이기도 하다. 각종 보안 실천 사항들이 이것을 가능하게 한다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. FBI와 프랑스 사법 기관 공조로 미국 내 플러그엑스 삭제됨.
2. 플러그엑스는 중국 해커들의 전용 멀웨어.
3. 치열한 공작 있었지만 정작 사용자들은 아무 것도 모름.
[보안뉴스 문가용 기자] 오래 전부터 중국 해커들이 곧잘 사용해 오던 멀웨어가 있다. 플러그엑스(PlugX)라고 하는데, 얼마나 중국 해커들 사이에서 인기가 높은지 보안 사건 조사 중 플러그엑스가 발견되면 범인은 99% 중국인으로 확정 지어질 정도다. 요주의 멀웨어라고 할 수 있다. 최근 미국의 사법기관인 FBI가 미국 내 있는 수많은 시스템에서 이 플러그엑스를 찾아서 삭제하는 일이 있었다.
[이미지 = gettyimagesbank]
플러그엑스?
중국 해커들의 대표 멀웨어 플러그엑스는 최소 2012년부터 관찰되어 온, 유서 깊은 악성 도구다. 그 동안 전 세계 수천 대의 윈도 기반 컴퓨터들을 감염시켰다. 최근 미국 펜실베이니아 주 법원에서 공개한 문서에 의하면 플러그엑스는 “원격에서 피해자 시스템에 접속해 명령을 실행하고, 저장된 파일과 기타 정보를 탈취하는 기능을 가지고 있다”고 한다. 또한 여러 중국 해커들이 공통으로 사용하는 경향이 있지만 이번에 FBI가 노린 건 “무스탕판다(Mustang Panda)와 트윌타이푼(Twill Typhoon)이라는 해킹 조직이 사용한 버전”이라고 한다.
FBI는 플러그엑스가 미국 내에서 국가 안보에 위협이 될 만큼 활개치고 있다고 보고 있으며, 이를 전국적으로 삭제하는 작업에 착수했다. 하지만 아무리 국가 기관이라 해도 국민의 사적 소유물인 컴퓨터에 함부로 접근할 수는 없었다. “연방 형사 소송 절차 제41조(b)(6)(B)에 따라 장치를 원격으로 검색하고 해킹 도구를 압수(삭제)할 수 있는 권한을 법원에 요청했습니다.”
법원이 FBI의 요청을 받아들인 이유
FBI는 법원을 설득하기 위해 플러그엑스의 악성 기능과 영향력에 대해 설명했다. “컴퓨터의 USB 포트를 통해 확산되는 멀웨어로, 연결된 USB 장치를 감염시킨 뒤 해당 USB 장치가 다른 윈도 컴퓨터에 연결될 때 확산됩니다. 그렇게 피해자의 시스템에 감염된 플러그엑스는 레지스트리 키를 생성하여 피해자 컴퓨터가 부팅될 때마다 자동으로 실행될 수 있도록 합니다. 피해자는 이러한 상황을 인지 못하는 게 보통입니다. 감염된 상태에서 인터넷에 접속하면 플러그엑스는 C&C 서버와 연결을 시도합니다. 연결 대상이 되는 C&C 서버의 IP주소는 플러그엑스 내에 하드코딩 되어 있습니다. C&C 서버는 플러그엑스를 통해 여러 가지 명령을 전달할 수 있습니다.”
C&C 서버가 피해 컴퓨터에 원격으로 전달할 수 있는 명령에는 여러 가지가 있는데, 특히 다음이 치명적이라고 법원 문서에는 명시되어 있다.
1) 피해 컴퓨터의 시스템 정보 수집
2) 파일 시스템 탐색
3) 파일 업로드, 다운로드, 전송, 삭제
보통 공격자는 이런 명령들을 순차적으로 실행하여 악성 기능을 수행하는데, 주로 피해자 식별, 정보 파악, 탈취로 이어진다.
또한 FBI는 무스탕판다가 미국의 여러 민간 기업과 정부 기관의 시스템에 침투한 것을 확신하고 있기도 했다. 구체적인 피해자들을 다음과 같이 꼽았다.
1) 2024년, 한 유럽 해운 회사
2) 2021~23년, 유럽 정부 다수
3) 전 세계 중국 반체제 인사 및 단체
4) 인도태평양 지역의 정부 기관(대만, 홍콩, 일본, 한국, 몽골, 인도, 미얀마, 인도네시아, 필리핀, 태국, 베트남, 파키스탄 등)
FBI가 추적하는 플러그엑스 변종의 경우 45.142.166.112라는 IP 주소를 가진 C&C 서버와 통신하도록 설계되어 있었다고 한다. “2023년 9월 이후 미국 내에서는 최소 4만5000개의 IP 주소와 해당 C&C 서버가 한 번 이상 접촉한 것으로 조사됐습니다. 플러그엑스에 감염된 컴퓨터들이 공격자들의 C&C 서버와 연결하려는 것 외에 다른 시나리오가 있을 가능성은 낮습니다. 이 컴퓨터들은 펜실베이니아 동부 지구를 포함해 다섯 개 이상의 연방 지구와 연결된 IP 주소를 사용하고 있었습니다. 즉 무스탕판다에 의한 감염이 이 동부 지역에 집중되어 있었다고 볼 수 있습니다.”
삭제 작업, 어떻게 진행했나
그런데 FBI보다 먼저 45.142.166.112로의 접근 권한을 얻은 기관이 있었다. 프랑스의 사법 기관이었다. 접근해 조사를 해보니 해당 C&C 서버에는 플러그엑스로 보낼 수 있는 각종 명령들이 저장되어 있었다. “그런데 그 중에 자체 삭제 명령도 있었습니다. 이 명령은 다양한 것들을 지우는 데 사용되고 있었습니다만 특히 플러그엑스가 피해자 컴퓨터에서 생성한 파일과, 공격이 자동으로 시작되게 하는 레지스트리 키를 삭제하게 함으로써 공격의 흔적을 말끔하게 청소하는 역할을 하고 있었습니다. 플러그엑스 자체와, 플러그엑스가 생성한 디렉토리와 임시 파일들도 당연히 사라지게 만들었습니다.”
FBI는 이러한 정보를 입수한 뒤 프랑스 수사 기관의 협조로 이 자체 삭제 명령을 실험할 수 있었다. “여러 번 실험한 끝에 자체 삭제 명령이 피해자 장비의 정상적인 기능이나 파일에는 영향을 미치지 않는다는 것을 확인할 수 있었습니다. 플러그엑스와 관련된 것들만 지워내는 명령이었던 것입니다.”
그렇다면 답은 간단했다. FBI와 프랑스 수사 기관이 이 명령을 플러그엑스에 전부 전달만 하면 플러그엑스는 저절로 사라질 것이었다. 법원이 공개한 문건에 따르면 “FBI와 프랑스 수사 기관은 플러그엑스 변종에 감염된 대상 장치에 자체 삭제 명령을 보냈다”고 한다.
하지만 해당 C&C 서버로부터 명령을 받을 플러그엑스가 반드시 미국 영토 내에만 있으리라고 보장할 수는 없었다. 그래서 삭제 명령을 보내기 전에 감염된 컴퓨터의 IP 주소를 요청했고(이는 플러그엑스의 기본 기능 중 하나였다), 되돌려 받은 응답을 통해 미국 내 컴퓨터들을 골라낼 수 있었다. “그런 이후에 FBI는 C&C 서버를 통해 미국 내에 존재하는 플러그엑스를 삭제할 수 있었습니다.” 이 작업은 14일 동안 반복적으로 수행됐고, 피해자들은 아직도 자신들의 컴퓨터에서 무슨 일이 있었는지 모르고 있는 것으로 알려져 있다.
그래서?
멀웨어 감염 사실을 피해자 스스로가 알아채는 건 대단히 힘든 일이다. 보안에 대한 전문적인 경험이나 스킬이 있지 않는 이상, 전문 기술을 익히고 다년 간의 실전 경험을 쌓아온 해커들의 움직임을 파악할 수 없는 게 당연하다. 적국의 해커든, 우리 편의 해커든 마찬가지다. 그들이 사용자의 레이더 망에 포착될 때는 크게 두 가지 경우에 한해서다. 그들이 들켜주거나, 프로가 아니거나.
들켜주는 경우는 공격자들이 작전상 들키는 걸 개의치 않을 때다. 랜섬웨어나 삭제형 멀웨어를 동원했을 때, 혹은 디도스 공격을 할 때, 공격자들은 피해자가 공격 당했다는 사실을 알아주길 원한다. 핵티비스트 공격을 받았을 때도 마찬가지다. 공격자들은 자신의 메시지를 효과적으로 전달하기 위해 피해자만이 아니라 온 세상이 피해 사실을 알아채도록 애쓴다.
아마추어 해커들의 공격이 사용자들의 눈이나 감에 걸리는 경우도 상당히 많다. 이들은 프로 해커들을 따라하거나 해킹을 이제 막 공부해본 부류다. 사이버 공간에서 진행되는 거의 모든 해킹 공격들이 바로 이 아마추어들에 의해 행해진다. 국가 정부의 지원을 받을 정도로 능숙한 APT 조직의 공격은 알아채기 힘들지 몰라도 아마추어들의 공격은 충분히 파악, 차단, 대처가 가능하다. ‘사이버 보안에 모두가 참여해야 한다’는 말은 ‘아마추어 공격 정도는 막을 수 있어야 한다’는 뜻이기도 하다. 각종 보안 실천 사항들이 이것을 가능하게 한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
