“원격프로그램 팀뷰어 사용하다 문화상품권 결제 피해 발생”  
보안전문가 “백도어나 키로깅 악성코드 감염 확률 높아”

[보안뉴스 김경애] 혹시 팀뷰어(TeamViewer)를 아시나요? 팀뷰어는 원격제어 프로그램으로 전 세계 어디에서든 PC나 서버에 연결할 수 있고, PC를 원격 제어할 수 있어 전 세계 2억명 사용자가 이용하고 있다고 합니다.




그런데요. 최근 팀뷰어를 사용하다 결제 피해를 당했다는 주장이 제기돼 관심이 모아지고 있습니다. 어떤 사건인지 [사건 미스테리] 코너에서 살펴봤습니다.

지난 3일 한 커뮤니티 사이트에서 ‘팀뷰어 쓰시는 분들 봐주세요’란 제목으로 팀뷰어를 사용하다 원격으로 문화상품권이 결제됐다는 피해자의 글이 다음과 같은 내용으로 올라 왔습니다. 
‘저는 개인 ID를 활용하여 외부에서 제 컴퓨터를 원격으로 자주 사용하는 편입니다. 어제 밤에 컴퓨터를 켜두고 사무실에서 퇴근했는데 아침에 와서 모니터를 켜보니 홈페이지가 여러 개 열려 있는 겁니다. 다수의 ID로 문화상품권 결제가 되어 있었습니다. 로그 기록도 이미 지워 놨고, 제 주요 방문 사이트들 비밀번호 변경 등 말 그대로 탈탈 털렸습니다.’

 

위 내용에 대해 먼저 사건경위를 살펴봐야 할 것 같은데요. 사용자는 팀뷰어를 작동시킨 상태에서 퇴근한 것으로 알려져 있습니다. 그렇다면 누군가가 해킹을 해서 결제를 했단 얘긴데, 그러기엔 우선 팀뷰어의 보안조치가 만만치 않습니다.

현재 팀뷰어는 보안, 서비스 가치 등의 항목을 검사하는 독일 IT 감정평가사 협회에서 품질관리 수준을 인정받았고, 독일 ‘FIDUCIA IT AG’(약 800개 독일은행의 데이터 처리센터를 운영하는 회사)가 실시한 보안관련 검사를 거쳐 은행 워크스테이션에서 사용해도 좋다는 승인을 받았다고 공지하고 있습니다. 또한, 독일 GAD eG(독일내 약 450개 은행의 데이터 처리센터 운영기업)가 팀뷰어의 보안성을 검증했고, 은행 워크스테이션(WinXP)에서의 팀뷰어 사용이 승인됐다고 밝히고 있습니다.


게다가 RSA 개인키/공개키 교환 및 AES(256비트) 세션 엔코딩에 기반을 둔 암호화 기술 사용과 함께 파트너 ID 외에 소프트웨어를 시작할 때마다 변경되는 세션 비밀번호를 생성해 원격 시스템에 대한 무단 액세스를 차단한다고 밝히고 있죠. 이외에도 모든 프로그램 파일은 VeriSign 코드 서명 기술을 통해 보호되며, 2단계 인증을 통해 팀뷰어 계정을 보호하고 있다고 고지하고 있습니다.

물론 완벽한 보안은 없기 때문에 팀뷰어가 100% 안전하다고 볼 수는 없습니다. 다만 여러 보안인증 취득 및 보안조치를 통해 일정수준의 보안성을 확보하고 있음을 알 수 있습니다.

그렇다면 무엇이 문제였을까요? 사건 미스테리에서 보안전문가들의 의견을 들어봤습니다. 

Q. 팀뷰어 사용자가 결제 피해를 당했는데요. 어떤 보안위협으로 인해 이러한 피해를 당했다고 생각하시는지요? 혹시 팀뷰어에 대해 알려진 보안 취약성은 없나요?

익명을 요구한 보안전문가: 팀뷰어를 통한 원격제어 문제보다는 이용자의 아이디와 패스워드가 노출됐거나, 키로깅 등을 할 수 있는 악성코드에 감염됐을 확률이 높습니다. 제가 알기론 아직까진 팀뷰어에 대한 보안취약점이 나오거나 알려진 건 없는 걸로 알고 있거든요. 더군다나 전 세계에 수많은 이용자가 있기 때문에 아마 문제가 됐다면 벌써 알려졌을 겁니다.

울지않는 벌새: 실제 해당 당사자분이 그 후에 어떤 금전적 피해가 있었는지 정확히 밝히지 않아 정확하게 팀뷰어 문제인지 PC 악성코드 감염으로 인해 팀뷰어를 악용했는지 애매합니다. 백도어 기능이 있는 악성코드에 감염됐을 경우, 굳이 팀뷰어가 아니더라도 원격으로 상대방 PC 제어가 가능하거든요. 아마 작성자는 당시 팀뷰어를 켜둔 상태라서 오해한 게 아닌가 싶습니다.

또는 피해자 PC의 악성코드 감염으로 인해 해커가 원격에서 팀뷰어를 이용해 작업을 했을 수도 있습니다. 즉, 원격제어가 가능한 악성코드에 감염된 상태에서 팀뷰어를 악용했을 수도 있다는 얘깁니다. 그런데 글 작성자는 팀뷰어가 켜져 있으니 팀뷰어로 피해를 봤다고 착각하는 게 아닌가 싶습니다.
Q. 그럼 백도어가 심어진 상태에서 팀뷰어까지 악용할 경우 피해가 더 크게 확대될 수 있다는 얘긴가요?

울지 않는 벌새: 네, 그럴 수도 있습니다. 하지만 팀뷰어 프로그램은 양쪽 PC에서 동작해야 가능합니다. 또한, 팀뷰어 자체 취약점 이슈는 아직 없습니다. 업데이트 정보도 공개된 적이 없는 걸로 알고 있습니다. 
Auditor Lee: 아마도 팀뷰어 계정이 유출되어 해커가 원격접속했을 가능성이 크다고 봅니다. 하지만 그렇다 하더라도 결제 아이디와 비밀번호를 모르면 불가능하기 때문에 그 이전에 악성코드에 감염됐을 확률이 높습니다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>