해킹팀 해킹 후폭풍...추가 피해 우려 확산

제로데이 익스플로잇 3개 공개

컴퓨팅입력 :2015/07/14 16:23    수정: 2015/07/14 18:05

황치규 기자

이탈리아 도감청 소프트웨어 업체 해킹팀 해킹 사건의 후폭풍이 거세다. 한국 정보기관인 국가정보원도 해킹팀으로부터 도감청 소프트웨어를 구입했고 이를 민간 사찰에 악용했을 수도 있다는 의혹 외에 어도비가 제공하는 플래시 플레이어에 대한 우려도 부쩍 커졌다. 해킹팀을 공격한 해커도 플래시 취약점을 활용했고, 해킹팀 역시 자사 스파이웨어 확산을 위해 플래시 취약점을 적극 활용하려 했다는 정황이 포착됐다.

플래시는 여전히 윈도 기반 데스크톱 PC 사용자들 다수가 쓰고 있는 플러그인 기반 웹기술이다. 그러나 플러그인 기반 웹기술을 겨냥한 보안 위협이 확산되는 가운데, 플래시도 점점 역사의 뒤안길로 밀려나는 모양새다.

이에 페이스북 최고보안책임자인 알렉스 스테이모스는 최근 트위터를 통해 어도비가 플래시를 버려야 한다고 주장했고 파이어폭스 브라우저를 제공하는 모질라재단은 플래시 기술을 차단하는 조치까지 취하고 나섰다. 해킹팀에서 유출된 파일 분석 결과 지금까지 플래시 취약점을 겨냥한 제로데이 익스플로잇이 3개가 포함된 것으로 확인됐다. 어도비는 이중 하나의 취약점에 대해서만 패치를 공개한 상황이다. 보안 업체인 파이어아이와 트렌드마이크로가 찾아낸 제로데이 익스플로잇은 현재 시점에선 공격에 무방비 상태로 남아 있다.

해킹팀 해킹 사건의 파장이 점점 커지고 있다.

어도비는 이번주 해당 취약점에 대해 패치하겠다고 약속했지만 그전에 해당 익스플로잇이 사이버 범죄자들에 의해 악용될 수도 있다는 지적이다. 이미 해킹 도구인 앵글러 익스플로잇의 배후에 있는 사이버 공격자들이 파이어아이가 찾은 익스플로잇을 사용하고 있다는 소식도 들린다. 트렌드마이크가 발견한 익스플로잇의 경우 상업용 익스플로잇 키트에 통합되고 있을 가능성이 높다는 얘기도 들린다. 트렌드마이크로는 블로그를 통해 "어도비가 업데이트를 내놓을때까지 사용자들은 플래시 기능을 꺼두는 것을 생각해봐야 한다"고 공지했다.

이와 관련해 해킹팀은 13일(현지시간) 입장 발표를 통해 "자사 감시 관련 소스코드가 유출됐지만 이번 공격에서 소스코드의 중요 부분은 침해를 당하지 않았다"고 해명했다. 해킹팀에 이번에 유출된 해킹 소프트웨어를 대체할 신제품을 가을에 선보일 예정이다.

해킹팀 해킹 이후 자주 거론된 제로데이 익스플로잇은 공개되지 않은 보안 취약점을 공격할 수 있게 하는 방법론으로 보면 된다. 일반인들에겐 다소 생소한 용어일 수도 있는 익스플로잇은 악성코드와는 다르다. 지능형지속가능위협(APT)를 포함해 일반적인 사이버 공격에 모두 쓰인다. 악성코드를 활용한 공격에서 익스플로잇의 역할은 대단히 크다. 익스플로잇을 제대로 만드느냐에 따라 공격의 성패가 결정된다. 특정 대상을 집중 공격하는 APT의 경우 익스플로잇에 의해 실행된 악성코드는 사용자 시스템에서 챙긴 정보를 해커가 운영하는 C&C 서버에 전달하게 된다. 악성코드가 단순 로봇이면, 익스플로잇은 로봇을 마음대로 다루는 배후조종자인 셈이다.

관련기사

익스플로잇은 악성코드처럼 실행파일(.exe) 형태가 아니라 소스코드 몇줄로 이뤄진 스크립트로 이뤄진다. 유포 경로는 웹사이트, 이메일 링크 등 다양하다. 공격자는 사용자가 쓰는 브라우저나 운영체제(OS) 취약점을 이용해 익스플로잇을 만든 뒤 웹사이트나 이메일 등을 통해 유포한다. 누군가 해당 웹사이트에 접속하거나 이메일이 걸린 링크를 누를 경우 익스플로잇이 당사자 몰래 유입된다. 감염된 이는 익스플로잇 존재 여부를 파악하기 어렵다. 공격자는 익스플로잇을 퍼뜨리기 위해 사회공학적인 방법을 활용할 때도 있다.

특정 시스템에 들어간 익스플로잇은 시스템을 공격할 수 있는 악성코드를 불러들여 설치하고 실행시킨다. 패치가 안된 취약점을 노린 악성코드인 만큼, 감염된 시스템은 공격자에 의해 유린당할 가능성이 높다. 백신 등 기존 보안 제품으로도 막기 어렵다.