넥슨 해킹, 가상 공격 시나리오 '전격 공개'

보안업계가 예측한 해킹 원인

일반입력 :2011/12/13 10:07    수정: 2011/12/13 10:18

김희연 기자

선거관리위원회 분산서비스거부(DDoS)공격 파문으로 넥슨 해킹에 대한 관심이 다소 사그라들었지만, 여전히 해킹원인에 대한 의혹은 풀리지 않고 있다.

일각에서는 지능형지속가능공격(APT) 등 많은 원인분석을 내놓고 있지만 당국의 수사발표가 늦춰지고 있어 원인은 오리무중인 상황이다.

이에 대해 13일 보안업계에서 내놓은 예상 분석을 종합해보면, 넥슨 해킹은 전형적인 원격제어도구(Remote Administrator Tool) 악성코드에 의한 내부정보 유출 가능성에 무게가 실렸다. 기존에 발생해왔던 해킹수법과 유사한 형태로 사회공학적 기법을 이용한 악성코드 전파 시도라는 것이다.

■넥슨 내부PC로 몰래 유입된 악성코드?

먼저 전문가들이 넥슨 해킹에 사용된 것으로 예측하고 있는 RAT 악성코드는 해커에 의해 플러그인 형태로 PC에 몰래 설치 가능하다.

이 악성코드에 감염되면 PC 입력 정보 값을 서버에 전송할 수 있는 것은 물론이고, 모든 파일 및 폴더 레지스트리 값에도 접근이 가능하다. 해커가 마음대로 PC를 통제할 수 있게 된다는 것이다.

그러나 보안 전문가들은 악성코드 감염 경로에 대해서는 여러 가지 가능성을 열어두고 있다.

최근 가장 빈번히 사용되는 감염 경로는 취약한 웹 서버 등을 이용해 정상적인 프로그램 업데이트 파일로 가장하는 방법이다. 보안 전문가들은 넥슨 해킹 역시도 정상 소프트웨어 업데이트 파일을 통해 감염됐을 가능성이 높다는 것이 공통된 의견이다.

■해커들의 반격, “넥슨 두고보자”

보안 전문가들은 넥슨 해킹이 사전에 치밀하게 준비된 공격일 가능성이 높은 것으로 예측했다.

잉카인터넷이 공개한 악성코드 분석결과에서도 이러한 주장을 뒷받침할만한 증거가 나왔다. 중국산 악성파일 제작 도구를 사용해 제작된 악성코드는 ‘Nexon'이란 문자열을 입력해 넥슨관련 악성파일에 감염되면 해당 사실을 알리거나 분류되도록 돼있다는 것이다.

한 보안 전문가는 “악성코드에 감염된 시스템을 모니터링 및 통계를 통해 악의적인 목적을 가진 사람이 목표로 하는 특정 기업이나 서버로 공격대상이 미리 정해져 있었을 것”이라면서 “목표가 된 시스템으로 침투한 지능형악성코드는 시스템의 환경적 부분에 대한 사전 조사를 미리 했을 가능성이 높다”고 예상했다.

최근 등장하는 대부분의 악성코드 기능처럼 키로거 기능을 통해 호스트PC에서 사용자가 키보드로 입력한 값 등의 정보를 서버에 그대로 전송해주는 형태로 공격을 준비하기 때문이다.

다만, 그는 현재 알려져있는 악성코드만으로는 어떤 방법을 이용했을지 구체적으로 알기는 어렵기 때문에 종합적인 검토가 필요하다는 점을 강조했다.

■보안제품 우회공격, “꼭꼭 숨어라 머리카락 보인다”

넥슨 해킹의 경우는 해커가 넥슨을 목표로 정하고 나서 정보 유출을 위한 환경 구성 및 공격 유형 조정의 과정도 거쳤을 것으로 전문가들은 예상했다.

최근 등장하기 시작한 보안제품 우회 공격 기법을 활용했다는 의견이 다수다. 악성코드를 통합 정보수집 과정을 통해 넥슨의 목표 DB서버의 대략적인 위치정보와 사용 중인 방화벽과 네트워크 보안 제품, 보안 솔루션 등 미리 적용된 보안 기능들에 대해 해커들이 사전 수집활동을 벌였을 가능성이 높다.

이를 통해 보안 제품에 탐지되지 않도록 악성코드 변종 제작은 물론 보안 제품 우회방안을 사용했을 것이다.

보안 전문가는 “해커가 RAT제작 툴 버전 선택 및 옵션 추가 등의 작업을 통해 가상 유사 시스템을 구축했을 것으로 보이며, 미리 테스트 과정을 통해 최종 버전의 악성코드를 실제 공격에 이용했을 것”이라고 추정했다.

초기 구성에부터 공격까지 치밀하게 계획된 정교한 공격이 이뤄졌을 것으로 보인다.

■해커, 정보수집 끝났다면...“돌격 앞으로”

또한 보안 전문가들은 해커들이 위의 가상 시나리오와 같이 목표 서버 시스템에 접근준비를 완료했다면 적절한 시기를 틈타 그 즉시 필요한 정보를 유출해 갔을 것으로 예측했다.

최종목적지 정보를 감추기 위해 몇몇 경유지 서버나 사전에 장악한 명령제어(C&C)서버, 좀비 서버에 유출된 DB 자체를 저장했거나 경유했을 가능성에도 무게를 뒀다.

한 보안업계의 관계자는 “일반적으로 해커들은 내부정보 유출사실을 늦게 발견하도록 하기 위해 목적을 달성하고 나면 설치된 바이러스를 제거하도록 명령어 등을 통해 침입 흔적을 최소화하는 경우가 많다”고 설명했다.

그러나 이번 넥슨 해킹에 이용된 악성코드는 일반적인 경우와는 다르다. 가능한 최신 정보와 지속적인 내부 정보 유출을 위해 목표 시스템 장악 후에도 표면적인 활동을 하지 않고, 삭제 명령에 대기하는 기능을 가진 유형으로 보인다는 것이다.

관련기사

익명을 요구한 보안 전문가는 “삭제 명령에 대기하는 일반적인 유형의 악성코드가 아닌 것으로 분석돼 정확한 감염 시점과 유출 시점에 대해 알기는 어려워 보인다”면서 “이 때문에 아무리 보안체계가 철저히 구축됐더라도 APT공격에 의한 RAT 악성코드 감염이라면 쉽게 발견하지 못할 것”이라고 지적했다.

또한 그는 “보안의 허점을 밝히기 위한 원인분석은 종합적인 관점에서 분석할 필요가 있기 때문에 이는 가상 시나리오에 불과한 만큼 경찰 수사 결과가 발표돼야 실질적인 피해원인이 밝혀질 것”이라고 강조했다.