세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
FBI, VPN필터의 C&C 도메인 찾아 싱크홀로 전환하다
  |  입력 : 2018-05-25 14:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
50만대 거느린 대형 봇넷, 공격 시작 전에 해체하기 위한 움직임
최초 발견한 건 시스코 탈로스 팀...러시아 직접 지목한 건 미국 법무부


[보안뉴스 문가용 기자] 50만대의 사물인터넷 장비를 거느린 VPN필터(VPNFilter)라는 대규모 봇넷이 어제 발견됨에 따라, 이를 활용한 사이버 공격이 감행되기 전에 먼저 인프라를 해체시켜야 한다는 긴박감이 사법계와 보안 업계 내에 조성됐다. FBI도 여기에 참여해 도메인 하나를 확보해 싱크홀로 만드는 데 성공했다.

[이미지 = iclickart]


그리고 미국의 법무부는 이 봇넷이 러시아의 소파시 그룹(Sofacy Group)이 사용하고 있는 것이라고 말하며 무력화시켜야 한다고 촉구했다. 소파시 그룹은 APT 28, 팬시 베어(Fancy Bear), 폰스톰(Pawn Storm) 등이라고 불리기도 하며, 러시아 정부가 지원하는 것으로 알려져 있다. 하지만 VPN필터를 최초로 발견한 시스코 탈로스 팀은 러시아를 직접 지목하지는 않았다.

“법무부는 국가를 겨냥한 사이버 위협들을 지켜만 보고 있지 않습니다. 사용 가능한 모든 장비와 기술을 동원하여 모든 위협을 해체하고 막을 것입니다. 이번 사건도 법무부의 이러한 노력과 성과를 보여주는 사례가 될 것입니다.” 차관보인 존 데머스(John Demers)의 발표 내용이다.

FBI가 확보하고 무력화시킨 도메인은 toknowall.com이라고 알려져 있다. 미국 영토 내에 호스팅되어 있으며 VPN필터의 2단계 멀웨어를 표적이 된 장비들에 전달해 감염시키는 C&C 서버로서 활용되고 있었다고 한다. VPN필터의 1단계 침투용 드로퍼는 장비를 껐다 켜도 사라지지 않아 큰 위협으로 남아있다. 2단계 멀웨어는 장비에 대한 정찰을 실시하고 필요한 정보를 공격자들에게 빼돌린다. 2단계 멀웨어는 자가 파괴 기능도 포함되어 있다. 3단계 멀웨어는 다양한 모듈로 구성되어 있는데, 웹사이트 크리덴셜을 빼돌리거나 익명화시키는 기능도 가지고 있다.

FBI가 이 도메인을 싱크홀로 만들었기 때문에 1단계 멀웨어가 보내오는 요청은 이곳으로 우회된다. 그러면서 감염된 기기들의 IP 주소들도 수집될 것이라고 한다. 하지만 이는 임시방편에 불과하다고 FBI는 말한다. “1단계 멀웨어가 사라져야 합니다. 그래야 근본적으로 문제가 해결됐다고 말할 수 있어요. 그런데 1단계 멀웨어를 없애려면 장비 사용자들이 공장 초기화를 시키고 최근 펌웨어를 깔아야 합니다. 비밀번호도 새롭게 설정하고요.”

그러나 보안 업체 트립와이어(Tripwire)의 전문가인 크레이그 영(Craig Young)은 “FBI가 두 번째 단계의 C&C 서버 도메인을 발견한 건 대단한 시작”이라고 말한다. “임시방편이라고 볼 수 있지만, 꽤나 양호한 수준의 응급조치를 취한 것이죠. 물론 근본적인 해결이 되지 않는다는 것은 맞는 말입니다.”

또한 근본적인 해결을 위해서는 사용자들이 몇 가지 절차를 자발적으로 밟아줘야 하는데, 크레이그 영 등의 보안 전문가들은 “그런 사용자들은 거의 없을 것”이라고 예상한다. “그러므로 사용자들에게 특별한 행동을 요구하는 해결책은 사실 해결책이 아닙니다. 차라리 사법기관과 보안 업계가 인터넷 통신 사업자들과 함께 감염된 기기를 찾아 사용자에게 조치 요구를 하는 게 낫습니다. 그리고 조치를 취하지 않는다면 장비들에 대한 원격 접근 기능을 막는 것이죠. 하지만 이 모든 과정이 전부 합법적인지부터 확인해야 하겠죠.”

VPN필터에 의해 감염된 기기들의 제조사는 링크시스(Linksys), 마이크로틱(MikroTik), 넷기어(Netgear), TP링크(TP-Link), 큐냅(QNAP)이다. 법무부는 “해당 기기를 보유하고 있는 사람들은 장비를 리부트하고 최신 펌웨어를 설치하라”고 촉구하고 있다.

FBI 특수요원인 밥 존슨(Bob Johnson)은 “공격자들이 마음껏 활동하도록 절대 놔두지 않을 것”이라고 말했다. “아직 최초 감염 경로 등 VPN필터에 대해 조사하고 파악해야 할 것이 많이 남아있는 것이 사실입니다만, 사용자들이 적극 펌웨어 업데이트 등의 조치를 취하는 것이 큰 도움이 될 것으로 보입니다. 디폴트 비밀번호도 새롭고 어려운 것으로 재설정하는 것도 좋은 방법입니다.”

사이버 보안 전문가인 마커스 브라운(Marcus Brown) 역시 “아직 해야 할 일이 남아있다”는 데에 동의한다. “이번 싱크홀 조치 관련 발표는 굉장히 흥미롭습니다. 보통 FBI가 수사와 관련된 내용을 이렇게 빨리 공개하지 않거든요. 아마도 정부와 FBI가 많은 정보를 확보한 채 공개하지 않고 있으며 늦장을 부린다는 일반인들 사이의 오해들을 푸는 게 먼저라고 생각한 듯 합니다. 또한 이번 사건의 해결에 사용자들의 참여가 요구되므로, 이를 독려하기 위해 이른 발표를 한 것이라고 볼 수도 있습니다.” 하지만 FBI는 이 부분에 대해 아무런 대답을 하지 않았다.

한편 보안 업체 카스퍼스키(Kaspersky)는 “VPN필터에서 발견된 블랙에너지 변종과 원래 블랙에너지 멀웨어 사이에 깊은 연관성이 있다는 시스코 탈로스 팀의 주장을 확인할 수 없었다”고 발표하기도 했다. VPN필터에 있던 변종의 경우는 깨진 RC4 알고리즘을 사용하고 있었던 것이 그 이유라고 한다. 시스코는 VPN필터의 존재를 발표하며 “우크라이나를 공격했던 블랙에너지 멀웨어와 완전히 똑같은 멀웨어가 VPN필터 안에서 발견됐다”고 언급한 바 있다. 이는 미국 법무부가 러시아의 소파시 그룹을 지목한 이유 중 하나이기도 하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)