Home > 전체기사
미국 제재 받고 있는 러시아 기업, 고급 멀웨어 개발자인 듯
  |  입력 : 2019-07-25 13:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이제까지 본 적 없을 정도로 높은 수준 가지고 있는 멀웨어, 모노클
여러 가지 정황상 러시아의 스페셜 테크놀로지 센터라는 기업이 만든 듯해


[보안뉴스 문가용 기자] 러시아의 2016년 미국 대선 개입 행위를 도왔다는 혐의를 받고 미국 정부의 제재 대상이 된 한 기업이 고급 스파이웨어를 개발한 것으로 나타났다. 얼마나 고급이냐면, 보안 전문가들이 이제껏 한 번도 본 적이 없는 성능을 발휘한다고 할 정도다.

[이미지 = iclickart]


우선 이 스파이웨어의 이름은 모노클(Monokle)이다. 모노클에 대해 처음 공개한 보안 업체 룩아웃(Lookout)에 의하면, 이 놀라운 공격 도구가 실제 처음으로 개발된 건 2015년의 일이라고 한다. 샘플이 발견되기 시작한 건 2016년 3월부터였는데, 2018년 전반기에 특히 급증했다. 그러나 활동 범위는 크게 제한적이라, 소극적으로까지 보일 정도였다. 룩아웃은 정말 필요한 때, 고급 표적 공격에서만 조심스럽게 사용된 무기일 것이라고 분석한다.

감염은 피해자들이 정상적으로 보이는 가짜 안드로이드 애플리케이션을 다운로드 받으면서 시작된다. 물론 이 애플리케이션은 정상 기능에 더해 트로이목마 기능까지 갖추고 있는 것이다. 룩아웃은 이 ‘가짜 앱’들의 이름과 기능 등을 분석해 “주로 카프카스 산맥 부근 지역에 있는 안드로이드 사용자들을 감시하는 데에 모노클이 주로 사용되는 것으로 보인다”고 말한다. 혹은 아흐아르 알샴(Ahrar al-Sham)이라는 무장 세력에 관심이 있는 자들이 공격 대상일 수도 있다고 한다. 아흐아르 알샴은 현 시리아 정부를 반대하는 세력이다.

“주로 우즈벡챗(UzbekChat)이나 아흐아르 맵스(Ahrar Maps)와 같은 앱으로 위장되어 있었습니다. 우즈벡챗은 우즈베키스탄 근처 지역의 사용자들이 사용하는 채팅 앱이고, 아흐아르 맵스는 아흐아르 알샴과 관련이 있는 서드파티 웹사이트를 통해서만 제공되는 앱입니다. 그 외에는 전 세계적으로 국가 구분 없이 유명한 스카이프(Skype), 시그널(Signal), 폰허브(Pornhub)와 같은 앱들로 위장되어 있는 경우도 많았습니다. 영어 이름을 가진 경우도 있었고, 아라비아어나 러시아어로 번역된 것들도 있었습니다.”

모노클은 원격 접근 툴(RAT)와 비슷한 방식으로 작동한다. 대신 기존 RAT보다 훨씬 더 발전된 데이터 및 미디어 추출 기능을 가지고 있다.
1) TLS와 SSL로 보호된 트래픽에도 중간자 공격을 실시할 수 있다. 공격자들이 직접 조작한 악성 인증서를 장비 내 기존 인증서에 덮어서 설치하기 때문에 가능하다. 룩아웃은 이런 공격을 실제로 실시하는 경우를 처음 봤다고 말한다.

2) 안드로이드의 접근성 서비스를 적극 남용한다. 그리고 이를 통해 다른 앱으로부터 데이터를 수집 및 수거, 추출한다. 특히 화면에 현재 나타나고 있는 텍스트를 읽어서 정보를 빼내기도 한다. 그렇다는 건 워드, 구글 독스, 페이스북, 왓츠앱, 스냅챗 등의 앱도 위험하다는 것이다.

3) ‘자동 완성’을 위해 저장된 단어들을 빼낸다. 이 단어들을 통해 사용자의 성격이나 습관, 취미, 은밀한 비밀 등을 파악하는 게 가능하다.

4) 사용자가 화면 잠금을 해제할 때 화면 캡처를 할 수 있다. 즉 비밀번호나 패턴 등에 대한 정보가 유출될 수 있다.

5) 저장된 연락처 정보, 통화 내역, 브라우저 히스토리, 달력 정보를 가져가며 사용자 비밀번호를 평문으로 추출할 수도 있다. 통화 내용과 환경 소리도 녹음할 수 있고, 계정과 계정 비밀번호를 가져갈 수 있게 되며, 이메일, 스크린샷, 위치 정보, 가까운 위치에 대한 정보도 빼낸다. 가까운 기지국도 파악한다.

이렇게 다양한 기능을 가진 모노클은 누구의 작품일까? 룩아웃은 러시아의 방산 업체인 스페셜 테크놀로지 센터(Special Technology Centre)를 지목한다. 2016년 오바마 미국 전 대통령이 “러시아 첩보 기관인 GRU를 지원하고 도왔다는 물증을 가지고 있다”며 제재를 시작한 기업이다. 민주당 해킹으로 유명한 팬시베어(Fancy Bear) 역시 GRU의 지원을 받고 있는 것으로 알려져 있다.

룩아웃의 보안 전문가들이 스페셜 테크놀로지 센터를 꼽은 이유는 C&C 인프라와 서명 시 사용하는 인증서가 같기 때문이다. 또한 모노클과 스페셜 테크놀로지 센터의 개발자 이름이 일부 겹친다고 한다. “모노클은 최근 사이버 범죄자들과 국가 지원 해커들이 모바일에 집중하고 있다는 걸 적나라하게 보여주는 증거입니다. 그리고 그 수준이 어느 정도에까지 올랐는지도 드러내고 있죠.”

룩아웃의 기술 보고서는 여기(https://www.lookout.com/documents/threat-reports/lookout-discovers-monokle-threat-report.pdf?utm_source=BL&utm_medium=BL&utm_campaign=WW-MU-MU-MU-MU-P_NON-&utm_content=WP_Monokole%20.xml)서 열람이 가능하다.

3줄 요약
1. 미국 대선에 대한 개입 의혹 때문에 미국 정부로부터 제재를 받고 있는 러시아 기업, 새 고급 멀웨어의 주인인 듯.
2. 고급 멀웨어의 이름은 모노클로, 현재까지 한 번도 보지 못했던 기능들을 가지고 있음.
3. 모바일 멀웨어의 수준, 하루가 다르게 높아지고 있다는 것 경계해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제