말로만 금지해서는 아무도 듣지 않는다. 그것을 실제로 적용할 기술이 뒷받침 되어야 한다. 인도네시아에서는 정부와 도박꾼들 간 숨바꼭질이 벌어지면서 이런 사실이 다시 한 번 증명됐다.

3줄 요약
1. 인도네시아 정부는 도박에 매우 엄격함.
2. 단속 피하기 위해 온라인 도박꾼들은 지소켓을 악용.
3. 단속 더 엄중해질 것이나 공격자들의 회피 능력 또한 발전할 것

[보안뉴스 문가용 기자] 인도네시아에서는 1974년부터 도박이 공식적으로 금지되어 왔다. 하지만 나라가 금지시킨다고 도박이 끊어지는 건 아니다. 음지에서는 도박이 여전히 성행했었다. 그런 상황에서 인도네시아는 2000년대 디지털 혁명을 경험한다. 음지에 숨어 있던 도박꾼들이 단속의 공백 속에서 급격히 성장했고, 정부는 부랴부랴 새로운 정책과 기술들을 동원해 이들을 잡아내고 있다. 잡으려는 자와 계속해서 도박을 하려는 자 사이의 숨바꼭질이 그렇게 시작돼 지금까지도 이어지고 있다.


[이미지 = gettyimagesbank]

수상한 활동과 지소켓
그런 가운데 최근 보안 업체 임퍼바(Imperva)는 수상한 활동이 인도네시아에서 급증하고 있다는 걸 알아냈다. 특히 최근 두 달 동안에는 파이선을 기반으로 한 봇으로부터 PHP 기반 웹 애플리케이션을 겨냥한 공격이 급증했다고 한다. “공격의 목적은 지소켓(GSocket)을 설치하는 것이었습니다. 지소켓은 글로벌소켓(Global Socket)의 준말이며, 유명한 네트워킹 도구입니다.”

공격자들은 지소켓을 한 번 설치하는 데 성공한 후 크론탭(crontab)과 배시알씨(bashrc) 파일을 활용해 공격 지속성을 확보한 것으로 분석됐다. “두 파일에는 추가 악성 코드가 있었습니다. 여기에는 두 가지 기능이 지정되어 있었는데 하나는 지소켓을 재설치하는 것이고 다른 하나는 재설치 시 사전에 정의된 키를 사용하도록 하는 것이었습니다. 피해자의 시스템이 재부팅 된 이후에도 지속적으로 활성화될 수 있도록 한 것입니다.”

일부 지소켓에 감염된 인스턴스들에서는 백도어가 검출되기도 했었다. “백도어가 심겨진 인스턴스들을 열심히 파헤쳤습니다. 그 결과 최근 지소켓 캠페인의 주요 목적 중 하나가 무엇인지를 알 수 있었습니다. 그런 인스턴스들에는 index.php라는 파일과 불규칙한 이름의 디렉토리들이 포함되어 있었는데, 그 안에는 인도네시아어로 작성된 HTML 랜딩 페이지가 있었습니다. 그 페이지에는 여러 온라인 도박 서비스에 대한 설명이 적혀 있었고요.”

임퍼바는 이 인도네시아어 설명을 일부 번역했고, 그 결과는 다음과 같았다고 한다. "888SLOT은 온라인 복권 사이트에서 가장 신뢰받는 온라인 복권 북마커 에이전트입니다. 매우 저렴한 베팅과 최소한의 돈만으로 복권을 즐길 수 있는 경험을 제공합니다. 적은 자본으로 수백만 루피아를 벌고 싶은 사람들에게 최고의 선택입니다." 또 각 PHP 파일의 맨 위에는 검색용 봇만 페이지에 접근할 수 있도록 설계된 PHP 코드가 있었고, 일반 방문자는 다른 도메인으로 우회 접속되도록 설정되어 있었다.

어떤 사용자가 위험하며, 어떤 일을 겪게 되는가?
이 모든 분석 결과는 피해자 입장에서 어떤 의미가 될까? 임퍼바는 다음과 같이 짧게 요약한다. “인도네시아 내에서 인터넷을 통해 온라인 도박 서비스나 용어를 검색하는 사용자들이 첫 번째 공격 대상이라는 뜻입니다. 이런 사람들이 실제 검색을 실시할 경우 공격자들이 마련한 도메인으로 우회 접속이 됩니다. 그리고 결국에는 pktoto.cc라는 인도네시아 도박 사이트로 연결되는 것으로 분석됐습니다.”

임퍼바는 이번 캠페인이 공격자들의 진화력을 다시 한 번 입증하고 있다고 결론을 짓는다. “인도네시아 정부는 불법 도박에 대해 매우 엄중한 태도를 유지하고 있습니다. 따라서 단속이 심할 수밖에 없습니다. 그럼에도 공격자들은 정부의 눈을 피해 도박 사이트를 홍보하고 싶고, 누군가는 그런 도박 사이트에 접속하고 싶어합니다. 그런 맥락에서 공격자들의 관심을 끈 게 유명 네트워크 도구인 지소켓이라는 사실이 이번 발견의 핵심입니다. 지소켓을 통해 정부의 눈을 속이고, 효율적으로 피싱 페이지들을 노출시킬 수 있게 됩니다.”

그래서?
정부의 단속이라는 것은 정책만으로는 불완전하다. 그 단속 규정을 구현할 기술력도 있어야 한다. 인도네시아 정부가 아무리 불법 도박을 잡아낸다 하더라도, 그것을 회피하려는 시도는 언제나 있을 것이고, 새로운 방법들은 계속해서 고안될 것이다.

이것은 인도네시아 정부만의 문제가 아니다. 미국에서는 최근 틱톡이 12시간 동안 정부의 규제로 차단된 적이 있었다. 하지만 전문가들은 “정부가 차단한다 해도 사용자들은 우회 방법을 반드시 찾아내게 되어 있다”며 “곧 사용자들 사이에서 우회 기술이 발견돼 공유될 것이고, 그러면 정부의 금지령은 아무런 효력을 갖지 못하게 될 것”이라는 예측이 나왔었다. 틱톡이 되살아나면서 이 예언들이 실현되지는 않았지만, 실제 그런 일이 있었다면 미국 정부도 스스로의 금지 조치를 기술적으로 구현하는 방법에 대해 더 깊이 고민했을 것이다.

한편 이번 사안에 대해 임퍼바는 다음과 같은 방어 지침을 권장하고 있다.
1) 웹사이트 관리자는 PHP 서버에 백도어가 있는지 확인해야 한다. 특히 웹셸 경로에 집중해 확인 작업을 실시하는 게 중요하다. 무단으로 심겨진 파일이 있다면 미리 모니터링해서 제거해야 한다.
2) 이미 시장에 출시된 고급 보안 솔루션을 활용하는 게 큰 도움이 될 수 있다. 악성 활동 탐지와 차단, 트래픽 패턴 분석 등을 꾸준해 해나가면 이번 캠페인도 충분히 막을 수 있다.
3) 지속적으로 경계 태세를 유지한다. 즉 소프트웨어와 OS를 정기적으로 업데이트하고, 보안 실천 사항을 잘 지키는 것이 중요하다. 공격자들의 진화는, 방어자의 꾸준한 기본기 지키기로서 대처가 가능하다.

이번 캠페인에서 반복해서 발견된 악성 명령과, 주요 표적이 된 파일과 경로들, 그리고 의외로 많은 공격을 받은 플랫폼이 무엇인지, 또 지소켓이 왜 공격자들의 간택을 받았는지는 1월 23일에 발행되는 프리미엄 리포트를 통해 설명됩니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>