세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
CIA 울리는 위키리크스, 위키리크스 울리는 아워마인
  |  입력 : 2017-09-01 16:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위키리크스는 볼트 7에서 앤젤파이어 툴 추출해 공개
아워마인은 어나니머스와의 연속적인 신경전 속에 위키리크스 디페이스


[보안뉴스 문가용 기자] 위키리크스의 웹사이트가 오늘 디페이싱 공격을 당했다. Wikileaks.org에 접속하면 평소와 달리 OurMine이라는 문구가 커다랗게 박힌 시커먼 화면이 떴다. 화면 하단에는 위키리크스를 조롱하듯 한 “안녕, 우리는 아워마인 보안 그룹이야. 걱정하지마. 그저 당신의 이런저런 것들을 실험하는 것뿐이거든. 아니, 잠깐. 그런데 보안 점검은 아니야! 위키리크스, 당신들이 먼저 우리한테 시비건 거 기억하지?”라는 메시지가 박혀 있었다.

▲ 으... 낙서쟁이들... [이미지 = iclickart]


현재 웹사이트는 정상적으로 복구가 된 상태다. 외신들은 아워마인(OurMine)과 어나니머스(Anonymous) 간에 벌어지고 있는 신경전 때문에 발생한 사건이라고 보고 있다. 아워마인과 어나니머스 간에 벌어지는 신경전은 대략 아래와 같은 흐름으로 이어졌다.

아워마인은 구글의 CEO 선다 피차이(Sundar Pichai), 페이스북의 창시자 마크 주커버그(Mark Zuckerberg), 우버의 CEO 트래비스 칼라닉(Travis Kalanick) 등 다양한 분야에서 활동 중인 중요 인물들의 소셜 미디어 계정을 침해하면서 이름을 알리기 시작했다.

또 하나 아워마인을 유명하게 만드는 요인은, 그들이 이처럼 해킹 공격을 반복하는 이유다. 아워마인은 스스로 “보안을 대신 점검해준다”고 주장한다. 사용자가 보유한 시스템뿐만 아니라 사용자가 가진 습관에서도 취약점을 찾아준다고 한다. 그러면서 뉴욕타임즈나 버즈피드(Buzzfeed)와 같은 조직들을 공격해왔다. 2015년 12월엔 위키리크스를 다운시킨 적도 있다.

이에 어나니머스가 뿔이 났다. 오랫동안 위키리크스의 창립자인 줄리안 어산지(Julian Assange)와 위키리크스의 오랜 지지자였기 때문이다. 그래서 어나니머스는 아워마인을 비방하기 시작했다. 그러면서 아워마인의 개인정보를 가지고 있다고 경고하기도 했다. 아워마인은 어나니머스가 계속해서 자신들을 괴롭히고 있다면서 2016년 7월 위키리크스에 디도스 공격을 다시 가했다. 그러고 나서 오늘과 같은 일이 벌어진 것이다.

아워마인은 최근 들어 왕성한 활동을 벌이고 있다. 얼마 전에는 ‘왕좌의 게임’의 제작사인 HBO를 공격했다. 홈페이지만이 아니라 HBO의 트위터와 페이스북 계정까지도 모두 당했다. 아워마인의 활동량이 올라간다는 건 이런 식의 ‘가벼운’ 홈페이지 공격이 당분간 이어질 것이라는 뜻이 된다. 이번 건에 대해서 아워마인은 “서버까지 침투하지는 않았다”고 주장했다.

한편 위키리크스는 공교롭게도 또 다른 CIA 툴을 공개하고 있던 상황이었다. 늘 그렇듯 볼트 7(Vault 7)에서 일부를 추출한 것인데, 이번에 공개된 건 CIA의 엔지니어링 개발 그룹(Engineering Development Group)과 관련이 있는 앤젤파이어(Angelfire) 2.0과 사용 매뉴얼이었다.

위키리크스가 이번에 공개한 앤젤파이어는 총 다섯 개의 요소로 구성된 임플란트(implant)라고 한다. 다섯 개 요소란 1) 솔라타임(Solartime), 2) 울프크릭(Wolfcreek), 3) 키스톤(Keystone), 4) 배드MFS(BadMFS), 5) 윈도우 트랜지토리 파일(Window Transitory File) 시스템이다.

솔라타임은 파티션 부트 섹터를 조작해 커널 코드를 로딩시키는 기능을 가지고 있다. 이 커널 코드는 윈도우의 부트 프로세스를 조작하는데, 이 커널 코드가 바로 울프크릭이다. 키스톤은 사용자 애플리케이션을 가동시키는 기능을 가지고 있고, 배드MFS는 비밀 파일 시스템을 생성해내는데, 이 시스템에 모든 드라이버, 실행파일, 임플란트 등이 저장된다. 마지막으로 윈도우 트랜지토리 파일 시스템은 앤젤파이어 운영자가 임시 파일을 만들어 추가 기능을 수행할 수 있도록 해준다.

결국 이 각각의 요소란 개별적인 기능을 수행하는 도구들로도 볼 수 있지만 결국은 시스템에 오래 숨어서 추가 악성 임플란트를 설치하고 실행하는 하나의 ‘프레임워크’를 형성하도록 되어 있다. 윈도우 XP와 윈도우 7 시스템을 공격하는 것으로 알려져 있다. 이번에 공개된 CIA 매뉴얼에는 트러블슈팅을 위한 안내 항목도 포함되어 있어 앤젤파이어 2.0에도 이미 알려진 자체 취약점이 존재하는 걸 알 수 있다.

한편 아워마인이 CIA의 툴이 공개되는 시점을 노려 디페이싱 공격을 했을 가능성은 높지 않은 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)