대형 통신사의 VoIP 소프트스위치 노리는 새 리눅스 멀웨어 등장

VoIP 소프트스위치 중 링크냇의 VOS2009와 VOS3000 집중적으로 노리는 CDR씨프
공격 대상에 대한 이해도가 상당한 수준...아직 밝혀내야 할 비밀들이 많이 남아 있어

[보안뉴스 문가용 기자] 대형 통신사의 통신망에 연결된 VoIP 소프트스위치를 공격하는 멀웨어가 새롭게 발견됐다. 보안 업체 이셋(ESET)에 따르면 이 멀웨어의 이름은 CDR씨프(CDRThief)이며, 특히 링크냇(Linknat)의 VOS2009와 VOS3000 소프트스위치가 위험한 상태라고 한다. 이 두 가지 제품 모두 표준 리눅스 서버에서 운영된다.

[이미지 = utoimage]

CDR씨프는 비밀 통화 메타데이터(통화 시간, 통화 소요 시간, 통화 완료 시간, 전화를 건 번호와 받은 번호 등)를 수집하는 기능을 가지고 있다고 한다. 이셋 측은 자사 블로그를 통해 “CDR씨프의 주요 목적은 데이터베이스에서 데이터를 훔쳐내는 것”이라고 설명했다. “보통 백도어들이라면 소프트스위치에서 셸 명령어를 실행하거나 특정 파일을 추출하는 기능을 가지고 있는데, CDR씨프에는 그런 것이 없었습니다. 메타데이터만 수집해요. 물론 지금 없는 기능들은 공격자들이 CDR씨프를 업데이트하면서 추가할 수 있긴 합니다.”

메타데이터를 훔치기 위해 CDR씨프는 소프트스위치들이 사용하는 내부 MySQL 데이터베이스에 쿼리들을 전송한다. 데이터는 e_syslog, e_gatewaymapping, e_cdr 테이블들로부터 추출되며, 추출된 데이터는 압축과 암호화 과정을 거친다. 이 때 RSA-1024 공공 키가 추출 직전에 하드코드 되기도 한다. 기본적인 정적 분석에 걸리지 않기 위해 악성 기능을 담은 듯한 문자열을 전부 암호화 한다. 이를 복호화 할 수 있는 건 공격자 자신들 뿐이다.

멀웨어가 무사히 침투한 후 시동이 걸리면 제일 먼저는 링크냇 플랫폼에서 정상 파일들을 실행시킨다. “공격자들이 링크냇 제품에 대해서 상세하게 이해하고 있는 것으로 보입니다. 아직 분석이 완료된 건 아니지만, 공격자들이 이 깊이 있는 이해도를 바탕으로 악성 바이너리가 일반 링크냇 플랫폼의 부팅 프로세스에 자연스럽게 녹아들도록 꾸몄으리라고 예상하고 있습니다. 그러면서 눈에 띄지 않게 공격 지속성을 확보하는 것처럼 보이기도 합니다.”

현재까지는 CDR씨프의 최초 침투 방법도 확실히 드러나지 않았다. “공격자들이 다른 경로를 통해 확보한 크리덴셜들을 브루트포스 방식으로 활용할 수도 있고, 취약점을 공략하고 있을 수도 있습니다.” 게다가 통화 메타데이터를 훔쳐간 목적도 아직은 오리무중이다. 이 부분은 보안 업체의 분석력으로 다 알 수 없는 부분이기도 하다. “공격자의 궁극적 목적은 아직 파악하기가 어렵습니다. 다만 통신사의 통화 메타데이터를 조용히 수집해갔다는 걸로 보아 사이버 스파이 행위의 일종으로 보이기는 합니다.”

VoIP 사기 공격을 위한 준비 단계의 공격으로도 해석이 가능하다. 기업의 VoIP 시스템에 침투한 뒤, 기업 담당자들 모르게 고급 서비스, 즉 1분 통화비가 99 센트~19.99 달러에 이르는 전화를 걸어 부당수익을 취하는 공격을 계획하고 있다는 뜻도 된다는 것이다. VoIP 특성 상 이런 식의 사기 전화를 동시에 수백 통씩 걸 수 있기 때문에 사기 공격을 하려는 자들로서는 안성맞춤의 플랫폼이 된다.

아직 많은 것이 베일에 가려져 있고, 따라서 추가 분석이 이뤄져야 하지만, 새로운 리눅스 멀웨어가 나왔고, VoIP 소프트스위치의 메타데이터만 골라서 가져간다는 독특함 때문에라도 CDR씨프는 주목할 만한 멀웨어라고 이셋은 강조한다. “공격자들은 CDR씨프를 통해 ‘링크냇’이라는 플랫폼에서 메타데이터만 빼내겠다고 노골적으로 선언한 것이나 다름이 없습니다. 그 정도로 독특한 멀웨어에요. 다만, 최종 목표는 더 지켜봐야 알겠지만요.”

3줄 요약
1. 대형 통신사들의 VoIP 소프트스위치 노리는 새 리눅스 멀웨어 등장.
2. 보통의 백도어들이 훔쳐대는 데이터에는 무관심. 오로지 CDR(통화 세부 기록)과 메타데이터만.
3. 메타데이터 가져가려는 이유는 무엇일까? 아직 더 지켜봐야 할 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)