소식 나오자 소프트웨어 개발사는 급하게 백도어 지우려는 패치 배포해
[보안뉴스 문가용 기자] 지난 주 보안 업체 트러스트웨이브(Trustwave)가 중국의 세금 관련 소프트웨어에서 골든스파이(GoldenSpy)라는 멀웨어를 발견한 바 있다. 중국 시장에 진출한 해외 기업이 사용해야만 하는 소프트웨어에서 정보 수집을 가능케 하는 백도어가 발견되었다는 내용으로, 중국 정부에 대한 불신을 부추겼던 소식이다.
[이미지 = utoimage]
이에 해당 소프트웨어를 제작한 개발사인 아이시노(Aisino)가 뜨악하며 소프트웨어 업데이트를 은밀하게 배포하기 시작했다. 골든스파이를 제거하기 위한 것이었다. 트러스트웨이브의 부회장인 브라이언 후세이(Brian Hussey)는 “이런 움직임을 급하고 정확하게 보였다는 건, 아이시노가 애초에 백도어를 의도적으로 심었다는 소식”이라고 지적했다. 다만 애초에 이런 계획을 세운 것이 아이시노인지, 배후에 또 다른 세력이 있는 것인지는 불투명하다.
아이시노의 새 소프트웨어는 레지스트리와 로그, 모든 파일과 폴더를 지운다. 골든스파이라는 백도어의 로그 파일도 삭제 대상에 포함된다. 그런 후 언인스톨 과정을 통해 이전 버전을 모두 삭제한다고 한다. “이런 언인스톨러가 배포된 방법은 크게 두 가지입니다. 하나는 6월 28일 AWX.EXE 파일로서 배포됐는데, 변수들이 평문으로 설정되어 있었습니다. 그래서 백신 소프트웨어에 잘 걸렸죠. 그래서 바로 다음 날 아이시노는 BWXT.EXE라는 언인스톨러를 배포했습니다. 이 때는 변수를 베이스64(Base64)로 암호화 했더군요.”
이런 빠른 변경의 정확한 이유나 동기는 아직 밝혀지지 않았지만 “백신을 피해가려는 것” 외에는 잘 떠오르지 않는다는 게 트러스트웨이브의 추측이다. “아이시노는 최대한 조용하게 골든스파이를 걷어내려고 했던 것 같습니다. 그렇지만 사용자들 몰래 원격에서 뭔가를 시도했다는 것 자체 때문에 골든스파이가 발견됐던 세금 소프트웨어 플랫폼의 신뢰도가 크게 하락할 수밖에 없습니다. 한 반 년 정도 지나서 골든스파이가 잊혀지면 다시 비슷한 공격을 이렇게 은밀하게 진행할지 누가 압니까?”
보안 업체 아반트(AVANT)의 수석 클라우드 책임자인 론 헤이먼(Ron Hayman)은 골든스파이에 대해 “아아시노가 처음부터 계획하고 진행한 일은 아닐 것”이라는 의견을 가지고 있다. “아이시노가 이 소프트웨어를 가지고 어마어마한 이윤을 내온 것도 아니고, 아이시노라는 회사 자체가 소비자의 신뢰를 크게 얻은 유명 기업이 아닙니다. 그런데도 이렇게 서둘러서, 급한 티를 팍팍 내면서 언인스톨 했다는 건 골든스파이의 발견으로 손가락질 받을 누군가를 위해 급히 작업했다는 뜻이라고 봅니다.”
후세이는 “엔드포인트 탐지 및 대응(EDR) 기능을 갖춘 기업들이라면 골든스파이가 시스템에 설치된 흔적이나 이력이 있는지 확인해야 한다”고 권고한다. “아마 아이시노가 골든스파이를 이미 지웠기 때문에 시스템에서 골든스파이 자체를 발견하기는 힘들 겁니다. 다만 과거에 설치된 적이 있었는지, 그렇다면 어떤 정보가 새나갔는지 확인할 필요는 있어 보입니다.”
3줄 요약
1. 중국 시장에 진출한 해외 기업이라면 꼭 설치해야 하는 세금 소프트웨어가 있음.
2. 지난 주 이 소프트웨어에서 골든스파이라는 정보 탈취형 멀웨어가 발견됨.
3. 뉴스가 나오자 소프트웨어 개발사가 은밀하게 골든스파이 지우기 위한 패치 배포함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>