개발자들의 코드 공유 사이트, 해킹 범죄자들도 들락거린다

이란 해커와 북한 해커가 사용한 멀웨어들에서 공통점 발견
추적해보니 코드 공유 사이트 나와...역으로 이용하면 보안 강화할 수도

[보안뉴스 문가용 기자] 북한과 이란이 코드프로젝트(CodeProject)라는 개발자 커뮤니티 및 코드 공유 사이트를 활용해 멀웨어를 제작하는 정황이 보안 업체 인테저(Intezer)에 의해 포착됐다. 인테저의 보안 연구원인 아리 에이탄(Ari Eitan)은 자사 블로그를 통해 이러한 내용을 상세히 공개했다.

[이미지 = iclickart]

“시간과 노력을 아끼기 위해 정상 소프트웨어 개발자들 사이에서 코드를 재사용하고 공유하는 일은 빈번하게 발생한다”고 서문을 연 에이탄은 “멀웨어 개발자들도 마찬가지”라고 말했다. “깃허브(Github)나 코드프로젝트(CodeProject), 스택오버플로우(Stack Overflow)가 대표적인 공유 플랫폼”이라고 소개한 에이탄은 “요즘은 국가의 후원을 받는 해커들까지도 이런 곳에서의 활동을 통해 필요한 코드를 복사해가는 일이 종종 눈에 띈다”고 덧붙였다.

인테저는 올해 2월부터 사우디아라비아를 집중적으로 노린 매직 하운드(Magic Hound) 공격에 사용된 멀웨어 샘플을 분석하다가 워너크라이(WannaCry) 샘플과 조납(Joanap) 샘플과의 유사성을 발견했다. 공교롭게도 워너크라이와 조납 공격 모두 북한이 가장 유력한 배후 세력으로 지목되고 있는 상태다. 반면 매직 하운드는 로튼 키튼(Rotten Kitten)라는 이란 해킹 단체가 가장 유력한 용의자다.

“샘플 멀웨어들에서 공통된 함수가 발견됐습니다. AES 혹은 라인달(Rijndael)이라는 암호화 알고리즘의 구현과 관련된 함수였습니다. 인테저의 바이너리 코드 데이터베이스에는 없는 것이었죠. 그렇지만 북한 해커들과 이란 해커들이 직접 만나거나 연락해서 코드를 주고받았다고 상상하기는 어려워서 ‘어딘가에 공개된 코드일 것’이라는 가정을 하고 추적하기 시작했습니다.”

‘추적’이라고까지 했지만 사실 구글 검색만으로 간단히 코드의 출처를 찾아낼 수 있었다고 에이탄은 밝혔다. “매직 하운드의 샘플이 C++로 작성됐다는 것까지 감안해 ‘C++ Implementation AES’라고 검색했더니 코드프로젝트 웹사이트의 어떤 페이지가 가장 먼저 나오더군요. 코드프로젝트는 개발자들이 모여 코드와 튜토리얼을 공유하는 곳이고요. 검색 결과로 나온 페이지는 2002년에 포스팅된 것이었습니다.”

코드프로젝트에 오래전에 소개된 이 코드가 위의 세 가지 멀웨어 샘플에서 사용된 바로 그 코드라는 결론을 내린 이유는 세 가지가 있다. 1) 레지스터와 몇 가지 명령의 순서만 제외하고는 코드가 정확히 일치하며, 2) 예외 처리자(exception handler)의 위치 또한 정확히 같고, 3) 문제의 함수 다음부터 비슷한 문자열들이 발견된다는 것이다.

에이탄은 “개발자들끼리 코드를 공유하는 건 흔한 일이지만, 멀웨어 제작자들까지도 인터넷을 검색하거나 개발자 커뮤니티 활동을 통해 코드를 따오는 것은 흥미롭다”며 “특히 전혀 관련이 없는 해커 그룹들이 똑같은 곳에서 똑같은 코드를 사용했다는 것이 우연의 일치일 수도 있지만, 구글 검색 결과 목록에서 제일 상위에 뜬다는 점도 작용했을 것이라고 본다”고 블로그를 통해 설명했다.

또한 “멀웨어 제작자들도 자기들끼리, 혹은 개발자 커뮤니티를 통해 코드를 재사용한다는 사실을 역으로 이용할 수 있다면 결국 멀웨어 개발자들이 코드를 전부 새롭게 짜야 하는 일이 벌어질 것”이라며 “그렇게 된다면 공격 비용을 높이는 일이 될 것”이라고 짚었다. 여기에 더해 “공격자들이 어떤 코드를 주로 가져다 쓰는지 패턴과 성향을 파악할 수 있다면, 미래의 공격을 막는 데에도 도움이 될 것”이라고 말했다.

해당 블로그 전문은 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)