Home > 전체기사
두쿠 2.0의 정체 일부 : 디지털 인증서 도둑
  |  입력 : 2015-06-16 15:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

인증서 훔쳐 사용함으로써 합법 펌웨어 업그레이드로 가장

ICS/SCADA 관련 모듈에 많은 비밀 숨어 있어


[보안뉴스 문가용] 두쿠 2.0이란 신무기를 장착한 채 정보보안 업계에 갑자기 모습을 드러낸 해커들이 합법적인 디지털 인증서를 훔쳐서 사용한 것이 드러났다. 그것도 세계 최대 규모의 전자장비 생산자로부터 말이다. 누구나 알만한 곳으로부터 훔친 인증서가 있어서 조용히 시스템에 잠입해 할 일을 할 수 있었다는 게 최근 두쿠 2.0에 대한 분석결과다.


카스퍼스키 글로벌 연구 및 분석 팀을 총괄하고 있는 코스틴 라이우(Costin Raiu)는 현재 진행되고 있는 이란 핵 협상과 관련이 있는 기관 및 정부를 겨냥한 사이버 스파이 행위의 전모를 파악할 만한 거대한 퍼즐조각을 발견했다고 어제 발표했다. 당연히 이 퍼즐조각은 최근 비슷한 공격을 받은 카스퍼스키에게도 중요한 것이다.


다시 한 번 두쿠 2.0에 대해 간략히 짚고 넘어가자면, 두쿠 2.0은 새롭게 등장한 신개념 멀웨어로 시스템의 메모리에만 자리 잡고 있고 하드웨어 공간은 조금도 사용하지 않는다. 즉 리부팅과 동시에 시스템에서 사라진다는 소리인데 그러면서도 겨냥한 시스템이나 네트워크에 자유롭게 드나들 수 있기도 하다. 가볍고 흔적은 단 1 바이트도 안 남기면서 언제나 피해자 시스템에 침투가 가능한 이 멀웨어가 어떻게 성립 가능할까?


라이우에 따르면 해커들은 중국의 폭스콘 테크놀로지 그룹(Foxconn Technology Group)이라는, 세계 최대의 전자장비 생산 업체이자 애플의 아이폰, 아이패드를 비롯해 MS, 에이서, 아마존, 블랙베리, 시스코, 델, 구글, HP, 모토롤라, 소니의 제품을 생산하는 기업의 ‘공식적’이며 ‘합법적’인 인증이 담긴 악성 드라이버를 설치한다.


이 드라이버는 방화벽, 게이트웨이 등 인터넷 트래픽과 직접 마찰을 일으키는 서버들에 설치가 되며, 폭스콘의 인증서를 가지고 있기에 대부분 시스템으로부터 무리 없이 통과 허락을 받는다. 그 시스템이 보기에는 폭스콘 제품의 공식 펌웨어 업데이트 중 하나이기 때문이다. 그렇게 침투에 성공하고 메모리에 자리를 잡으면 그때부터는 기존 멀웨어들의 C&C 작업이 시작된다.


“수사를 진행하면서 해커들이 멀웨어에 지속성 더하기 위해 사용한 64비트 드라이버를 발견할 수 있었습니다.” 이런 방식으로 최초 설치부터 C&C 운영을 하니 로그 활동 역시 은폐시킬 수 있었다는 게 라이우의 설명이다. 이는 이전 버전의 두쿠가 차용했던 방식과 동일하다. 두쿠 1.0이라면 그 유명한 스턱스넷의 조상뻘로 여겨지는 멀웨어다. 당시 두쿠 역시 합법적인 디지털 인증서를 훔쳐서 사용했는데, 리얼텍(Realtek)과 제이마이크론(Jmicron)이 그 희생양이었다.


라이우는 “폭스콘이 희생양이었는지 후원자였는지는 정확히 판단할 수가 없지만 일단 이 같은 사실을 회사 측에 알리긴 했다”며 “베리사인(Verisign)에도 같은 내용을 통보했다”고 밝혔다. 현재 베리사인은 폭스콘의 인증서를 폐지하고 있다.


이처럼 합법적인 인증서를 활용하는 해킹 수법은 여러 방어 솔루션을 우회하는 방법이 다양해지고 있음을 보여준다. “드라이버는 게이트웨이를 가동하는 기계들로 향하거나 기계들로부터 나오는 네트워크 흐름의 방향을 바꿉니다. 이 드라이버와 연결하려면 공격자는 네트워크에 근간한 메커니즘을 사용해 게이트웨이에 ‘노크’를 해야 하는데, 이때 사용되는 키워드가 몇 가지 있습니다. 그중 몇 가지를 이번에 발견할 수 있었는데, 바로 romanian.antihacker와 ugli.gorilla였습니다.”


경악스러운 사실은 해커들이 같은 인증서를 한 번 이상 사용하지 않는다는 것이다. 즉 이들에겐 이미 훔친 디지털 인증서가 수두룩하게 많다는 뜻도 된다. “해커의 수중에 인증서가 다량 있다면, 해킹이 굉장히 편해지죠.”


한편 카스퍼스키는 이뿐 아니라 아시아 태평양 지역에서 ICS/SCADA 하드웨어 관련 사업을 운영하는 기업에서 두쿠 2.0 감염의 흔적을 발견했다. “해커들은 아태 지역의 하드웨어 생산자들에게도 관심이 있는 것으로 보입니다.” 하지만 카스퍼스키 측은 해당 기업의 이름을 정확하게 밝히지는 않았다.


게다가 두쿠 2.0의 한 모듈에서는 ICS/SCADA와의 연관성이 발견되기도 했다. 한 파일이름에 HMI(human machine interface)이라는 약자가 있었던 것이다. 그러나 두쿠 2.0이 정확히 ICS/SCADA의 어떤 부분 혹은 어떤 취약점을 노리는지, 어떤 기능을 가지고 있는지, 어떤 목적 아래 움직이는지는 여전히 수사 중에 놓여있다.


또한 여전히 해커들이 정확히 노린 바가 무엇인지는 밝혀지지 않고 있다. 또한 스턱스넷과의 정확한 연관성도 아직은 드러난 바가 없다. “그렇기 때문에 이 HMI 이름이 있던 모듈의 존재가 더 기이한 겁니다. 이 모듈에 대한 분석이 완료되고 정확한 결론을 얻게 되면 두쿠 2.0에 대해 많은 것을 알게 되리라고 봅니다. 해커들의 동기와 목적, 작동원리 등을 말이죠.”


또한 두쿠 2.0부터는 정보보안 업체 역시 공격의 범위 안에 들어간 것이나 다름이 없게 되었다. 시장의 판도 자체가 바뀐 것이다. 이는 곧 방어의 본거지 혹은 방어기술의 진원지로의 직접 타격이 시작되었다는 뜻이다. 정보보안을 간판에 내건 기업들은 이제 스스로가 안전함을 증명해야 된다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)