세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
해킹팀, 다시 활동 시작했나? 14개국에서 새 샘플 발견
  |  입력 : 2018-03-13 11:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정부 기관과 은밀한 거래 통해 감시 툴 배포한 논란의 기업
2015년 유출 사고 있은 후 상대적으로 잠잠...최근 활동 재개?


[보안뉴스 문가용 기자] 논란의 보안 업체 해킹팀(Hacking Team)이 개발한 원격 통제 시스템(Remote Control System, RCS)이 다시 한 번 모습을 드러냈다. RCS는 해킹팀의 대표 상품이라고 할 수 있는 스파이웨어로, 이번에 발견된 건 이전 버전과 살짝 다르다고 한다.

[이미지 = iclickart]


이를 발견한 보안 업체 이셋(ESET)은 해킹팀에 대해 “2003년에 설립된 이탈리아의 스파이웨어 제조 업체”라고 설명한다. 또한 “세계 각국 정부 기관들을 상대로 감시 및 검열 툴을 판매해온 것으로 유명하다”고 덧붙이기도 했다. 해킹팀은 2015년 해킹을 당하며 내부 정보 400GB가 유출되기도 했는데, 이 때 비밀리에 관리됐던 고객 명단이 드러나 여러 정부가 홍역을 치루기도 했다.

하지만 2015년 해킹 사건 당시 유출된 건 고객 명단만이 아니었다. 주력 상품인 RCS의 소스코드도 함께 공개된 것이다. 이 때문에 여러 해커들이 RCS의 소스코드를 활용해 사이버 범죄를 저지르기도 했다.

이 사건의 충격이 워낙 컸기 때문에 해킹팀은 곧 해체될 것 같았다. 하지만 그런 일은 일어나지 않았다. 불과 6개월 후 새로운 스파이웨어가 등장하면서 이들이 여전히 활동하고 있음이 알려졌다. 심지어 키프로스에 있는 정체불명 회사인 태블럼 리미티드(Tablem Limited)로부터 대규모 투자를 받기도 했다. 후에 태블럼 리미티드는 사우디아라비아와도 연관성이 있는 곳으로 알려졌다.

한편 RCS는 백도어가 가질 수 있는 거의 모든 기능을 가지고 있는 툴이다. 표적이 된 기기로부터 파일을 추출하고, 이메일과 메시지를 가로채고, 원격에서 웹캠과 마이크를 실행해 사용자 감시도 실행할 수 있다.

이번에 이셋이 새롭게 발견한 RCS 샘플은 2015년 9월과 2017년 10월 사이에 컴파일링된 것으로, 추적 결과 RCS 소스코드를 활용한 잡다한 해킹 단체가 아니라 단 한 개의 그룹이 배후에 있음을 알 수 있었다고 한다. 이는 다름 아닌 해킹팀 그 자신이다. 또한 전혀 새로운 디지털 인증서로 서명도 되어 있었다고 한다. 이 인증서는 지버 리미티드(Ziber Ltd)라는 기업에 쏘트(Thawte)라는 곳에서 발행한 것이다.

새로운 RCS 샘플에는 위조된 마니페스트(Manifest) 메타데이터가 추가되어 있었다. 이 때문에 정상적인 애플리케이션처럼 보이며, VM프로텍트(VMProtect)까지 사용돼 멀웨어 탐지 툴을 우회하기까지 했다. “이는 해킹팀이 스파이웨어를 만들 때 자주 사용하는 기법이기도 합니다.” 이것이 해킹팀이 이번 샘플 개발에 직접 연루되어 있다는 첫 번째 단서다.

또 다른 단서는 ‘버전’이다. 이번에 발견된 RCS 샘플의 버전은 해킹팀이 유출 직전까지 유지했던 그 버전 시스템을 잇고 있다. 버전 번호를 붙이는 패턴도 동일하다고 한다. 여기에 더해 업데이트 방식 자체도 해킹팀의 코딩 유형과 상당히 흡사하며, 정량화된 수치를 제공할 순 없지만 업데이트한 자가 RCS 코드를 매우 잘 알고 있는 것으로 보인다고 이셋은 설명한다.

“원래 RCS를 개발한 해킹팀이 아닌 제3자가 유출된 코드와 정보만 학습해서 이 정도로 익숙하고 유사하게 업데이트를 진행했다는 게 잘 상상이 되지 않습니다. 버전 번호라는 디테일마저 원작자의 패턴을 따르다니요. 해킹팀이 여기에 관여했다고 보는 게 더 타당합니다.”

차이점도 있었다. 스타트업(Startup) 파일 크기가 조금 다르다. 유출이 있기 전 RCS 스타트업 파일의 크기는 4MB였고, 최근 발견된 샘플은 6MB다. 하지만 그 외 기능적인 측면에서는 완전히 동일한 스파이웨어다. PDF로 위장된 실행 파일을 통해 배포되고 있다는 것도 같다. “다른 RCS 어뷰징 사건과 달리 이번 샘플은 해킹팀의 개발자들이 직접 업데이트를 한 것이라고 이셋은 자신 있게 결론을 내릴 수 있었습니다.”

현재 이 새로운 샘플은 14개 국가에서 발견된 상태라고 이셋은 설명을 추가한다. 하지만 정부 기관들이 해킹팀과 새롭게 거래를 시작한 것인지, 혹은 누군가 해킹팀의 제품을 새롭게 활용하기 시작한 것인지가 확실치 않기 때문에 이셋은 아직 14개 국가명을 공개할 단계가 아니라고 판단했다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술