세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
러시아에 당했던 NSA 직원 컴퓨터서 121개 멀웨어 추가 발견
  |  입력 : 2017-11-18 11:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
카스퍼스키, “카스퍼스키가 혐의 받을 만한 증거 없다”
“멀웨어가 121개라는 건 러시아 외 추가 공격자 있을 가능성 높아”


[보안뉴스 문가용 기자] 각종 기밀을 집의 개인 컴퓨터에다 저장해놓고 작업을 했다던 NSA 직원을 통해 NSA의 기밀과 툴들이 유출된 적이 있었다. 해당 컴퓨터를 조사해본 결과 러시아 지하 포럼에서 자주 발견되는 백도어에 감염되었다는 게 최초에 드러났다. 그런데 추가 분석을 진행한 결과 120여 개의 멀웨어가 또 다시 등장했다.

[이미지 = iclickart]


이 컴퓨터를 분석하고 있던 카스퍼스키는 이러한 사실을 밝혀 보고서를 발표했다. 당시 그 직원의 컴퓨터에는 카스퍼스키의 백신 소프트웨어가 설치돼 있었고, 덕분에 카스퍼스키는 러시아 정부를 돕는다는 오해를 받았다. 덕분에 카스퍼스키 소프트웨어는 정부로부터 축출됐다. 카스퍼스키는 이를 강력히 부인하고 있으며, 그래서 이번 조사에 더 열을 올리고 있다.

카스퍼스키의 조사에 의하면 해당 NSA 직원의 컴퓨터는 모크스(Mokes)라는 백도어에 감염되어 있었다. 모크스는 스모크봇(Smoke Bot) 혹은 스모크로더(Smoke Loader)라고도 알려져 있고, 정보 탈취가 기본적인 기능이다. 러시아 지하 포럼에서 2014년부터 판매됐고, 연결된 C&C 서버들은 중국 단체인 자오로우(Zhou Lou)라는 이름으로 등록돼 있었다.

NSA 직원의 컴퓨터가 침해된 건 2014년 10월 4일의 일이였으며, 해적판 오피스 2013 소프트웨어를 설치한 것이 치명적으로 작용했다. “MS 오피스 2013 해적판에 심겨져 있던 모크스가 http://xvidmovies[.]in/dir/index.php로의 연결을 주기적으로 시도했지만, 백신에 막혔습니다. 해당 주소를 추적해 조사해본 결과 수많은 악성 파일들이 이 URL로 똑같이 연결되어 있다는 걸 알게 되었습니다.”

카스퍼스키는 자신들의 소프트웨어가 연결 블록 처리한 기록을 통해 이같은 사실을 알아냈다고 설명한다. 해당 URL은 이미 알려진 악성 사이트였다. “사용자도 감염이 일어난 기간에 어디선가 멀웨어를 계속해서 다운로드 받고 설치했다는 것을 보여주기도 합니다.” 멀웨어가 제대로 작동을 하려면 카스퍼스키의 백신을 멈춰야만 했다는 설명도 덧붙였다.

2014년 9월 11일부터 11월 17일 사이 기간 동안 이 URL로부터 연결이 금지된 멀웨어는 총 121개였다. NSA의 툴들은 죄다 뺀 숫자다. “트로이목마, 백도어, 애드웨어, 각종 익스플로잇 등 종류도 다양합니다. 카스퍼스키 제품은 이 멀웨어뿐 아니라 NSA에서 개발한 해킹 도구들이 작동할 때도 경고를 발송했습니다. 121개 멀웨어들이 백신 소프트웨어가 멈춘 후에 작동을 했는지 안 했는지는 아직 밝히지 못했습니다.”

자신들의 혐의를 부인하는 것도 잊지 않았다. “121개 멀웨어 및 URL을 추적해본 결과 카스퍼스키 소속 연구원들이 가짜 시그니처를 업데이트해 NSA의 기밀을 훔쳐내거나 열람하려 했다는 증거 역시 발견할 수 없었습니다.”

또한 카스퍼스키는 “NSA의 기밀이 다른 곳으로도 흘러갔을 가능성이 높다는 뜻”이라고도 결론을 내렸다. “한 개의 공격 단체가 121개의 멀웨어를 다 사용했을 가능성은 낮습니다. 여러 곳에서 이 컴퓨터에 침투했다는 것이 더 타당한 결론으로 보입니다. 물론 정확히 얼마나 많은 단체나 관련자들이 여기에 엮여있는지는 알 수 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#NSA   #러시아   #직원   #카스퍼스키   #혐의   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)