세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
개발자들의 코드 공유 사이트, 해킹 범죄자들도 들락거린다
  |  입력 : 2017-10-11 10:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이란 해커와 북한 해커가 사용한 멀웨어들에서 공통점 발견
추적해보니 코드 공유 사이트 나와...역으로 이용하면 보안 강화할 수도


[보안뉴스 문가용 기자] 북한과 이란이 코드프로젝트(CodeProject)라는 개발자 커뮤니티 및 코드 공유 사이트를 활용해 멀웨어를 제작하는 정황이 보안 업체 인테저(Intezer)에 의해 포착됐다. 인테저의 보안 연구원인 아리 에이탄(Ari Eitan)은 자사 블로그를 통해 이러한 내용을 상세히 공개했다.

[이미지 = iclickart]


“시간과 노력을 아끼기 위해 정상 소프트웨어 개발자들 사이에서 코드를 재사용하고 공유하는 일은 빈번하게 발생한다”고 서문을 연 에이탄은 “멀웨어 개발자들도 마찬가지”라고 말했다. “깃허브(Github)나 코드프로젝트(CodeProject), 스택오버플로우(Stack Overflow)가 대표적인 공유 플랫폼”이라고 소개한 에이탄은 “요즘은 국가의 후원을 받는 해커들까지도 이런 곳에서의 활동을 통해 필요한 코드를 복사해가는 일이 종종 눈에 띈다”고 덧붙였다.

인테저는 올해 2월부터 사우디아라비아를 집중적으로 노린 매직 하운드(Magic Hound) 공격에 사용된 멀웨어 샘플을 분석하다가 워너크라이(WannaCry) 샘플과 조납(Joanap) 샘플과의 유사성을 발견했다. 공교롭게도 워너크라이와 조납 공격 모두 북한이 가장 유력한 배후 세력으로 지목되고 있는 상태다. 반면 매직 하운드는 로튼 키튼(Rotten Kitten)라는 이란 해킹 단체가 가장 유력한 용의자다.

“샘플 멀웨어들에서 공통된 함수가 발견됐습니다. AES 혹은 라인달(Rijndael)이라는 암호화 알고리즘의 구현과 관련된 함수였습니다. 인테저의 바이너리 코드 데이터베이스에는 없는 것이었죠. 그렇지만 북한 해커들과 이란 해커들이 직접 만나거나 연락해서 코드를 주고받았다고 상상하기는 어려워서 ‘어딘가에 공개된 코드일 것’이라는 가정을 하고 추적하기 시작했습니다.”

‘추적’이라고까지 했지만 사실 구글 검색만으로 간단히 코드의 출처를 찾아낼 수 있었다고 에이탄은 밝혔다. “매직 하운드의 샘플이 C++로 작성됐다는 것까지 감안해 ‘C++ Implementation AES’라고 검색했더니 코드프로젝트 웹사이트의 어떤 페이지가 가장 먼저 나오더군요. 코드프로젝트는 개발자들이 모여 코드와 튜토리얼을 공유하는 곳이고요. 검색 결과로 나온 페이지는 2002년에 포스팅된 것이었습니다.”

코드프로젝트에 오래전에 소개된 이 코드가 위의 세 가지 멀웨어 샘플에서 사용된 바로 그 코드라는 결론을 내린 이유는 세 가지가 있다. 1) 레지스터와 몇 가지 명령의 순서만 제외하고는 코드가 정확히 일치하며, 2) 예외 처리자(exception handler)의 위치 또한 정확히 같고, 3) 문제의 함수 다음부터 비슷한 문자열들이 발견된다는 것이다.

에이탄은 “개발자들끼리 코드를 공유하는 건 흔한 일이지만, 멀웨어 제작자들까지도 인터넷을 검색하거나 개발자 커뮤니티 활동을 통해 코드를 따오는 것은 흥미롭다”며 “특히 전혀 관련이 없는 해커 그룹들이 똑같은 곳에서 똑같은 코드를 사용했다는 것이 우연의 일치일 수도 있지만, 구글 검색 결과 목록에서 제일 상위에 뜬다는 점도 작용했을 것이라고 본다”고 블로그를 통해 설명했다.

또한 “멀웨어 제작자들도 자기들끼리, 혹은 개발자 커뮤니티를 통해 코드를 재사용한다는 사실을 역으로 이용할 수 있다면 결국 멀웨어 개발자들이 코드를 전부 새롭게 짜야 하는 일이 벌어질 것”이라며 “그렇게 된다면 공격 비용을 높이는 일이 될 것”이라고 짚었다. 여기에 더해 “공격자들이 어떤 코드를 주로 가져다 쓰는지 패턴과 성향을 파악할 수 있다면, 미래의 공격을 막는 데에도 도움이 될 것”이라고 말했다.

해당 블로그 전문은 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#코드   #공유   #멀웨어   #북한   #이란   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)