해킹팀 툴 나도 감시?...무료 확인툴 주목

컴퓨팅입력 :2015/07/23 16:56    수정: 2015/07/23 16:58

손경호 기자

해킹팀을 통해 유출된 문건에 따르면 카카오톡, 라인 등 국내서 자주 사용되는 모바일메신저앱과 함께 PC, 노트북 등까지 전방위로 감시에 노출될 수 있는 것으로 나타났다.

정보기관이 주요 인물에 대해 감시활동을 벌이는 것은 어제 오늘 일이 아니지만 일반 국민들 입장에서는 언제 어떻게 내 사생활이 감시당하고 있는지 불안해 할 만하다. 더구나 국가정보원의 민간 사찰 논란까지 불거지면서 이러한 불안감은 더 커졌다.

최근 국내외에서 해킹팀이 제공해 온 '원격제어시스템(RCS)'으로 불리는 감시툴을 피할 수 있는 방법 혹은 자신이 도감청되고 있는지 여부를 검사할 수 있는 무료툴이 공개됐다.

해킹팀으로부터 악용된 바이너리, 악성파일 등 여부를 확인할 수 있는 '밀라노'

먼저 루크 시큐리티라는 보안회사가 개발한 RCS 무료 검사툴인 '밀라노(Milano)'가 있다. 해킹팀 본사 소재지에서 이름을 따온 이 검사툴은 해킹팀 내부문건을 통해 유출된 93개 윈도용 바이너리, 40개 악성파일로 의심되는 문서가 자신의 PC, 노트북 등에 존재하는지 여부를 확인할 수 있게 했다.(관련링크)

이 회사측은 "해킹팀에서 유출된 400GB 분량 파일을 자체분석해 악용될 확률이 높은 바이너리, 파일 등을 분석한 것"이라며 "이러한 파일들에 대한 동적, 정적 분석을 완료한 결과를 바이러스토털, 카스퍼스키 화이트리스팅, 팔로알토 와일드파이어 등을 통해 추가적인 분석결과를 비교했다"고 밝혔다. 만약 밀라노를 통해 자신의 기기를 검사했을 때 이러한 파일들이 발견되면 감시툴에 노출됐다고 볼 수 있다는 설명이다.

페이스북이 제공 중인 OS쿼리. 기업 내 네트워크보안담당자들이 활용해 볼만 하다.

페이스북은 자체적으로 운영하고 있는 'OS쿼리(osquery)'라는 취약점 분석용 프레임워크에 해킹팀으로부터 발견된 애플 OS X 관련 백도어를 심을 수 있는 방법을 탐지할 수 있도록 업데이트했다. OS쿼리는 해당 운영체제(OS)에 SQL기반 쿼리를 날려 해당 시스템이 어떤 프로세스를 통해 구동되는지, 현재 실행 중인 커널 모듈, 네트워크 연결정보 등을 확인할 수 있도록 했다.(관련링크)

해킹팀이 사용해왔던 애플 OS X에서 실행될 수 있는 백도어 관련 취약점 공격을 탐지하기 위해 'OS쿼리툴'을 업데이트하기도 했다. 백도어는 공격자가 이후에도 마음대로 해당 시스템에 드나들 수 있도록 만들어놓은 일종의 뒷문(backdoor)을 말한다.

미국 지디넷에 따르면 페이스북측은 "공격자가 맥 OS X 백도어를 개발하고 이를 공격대상에게 적용하려는 시도를 지속적으로 하고 있다"며 "(유명 취약점 공격수법인) 플래시백, 아이스포그, 카레토, 애드윈드/언레콤에 더해 '최근 해킹팀의 RCS와 관련된 보안업데이트를 완료했다"고 밝혔다.

관련기사

OS X 공격팩은 지능형 공격에서부터 애드웨어, 스파이웨어 등까지 다양한 변종 악성코드에 대해 확인할 수 있는 쿼리를 확보하고 있다. "만약 이러한 팩에 대한 쿼리가 어떤 검색결과를 표시할 경우, 해당 기기가 악성코드에 감염됐다는 것을 의미한다"고 이 회사측은 설명했다.

엠시큐어가 개발한 스파이앱 감시툴 '스파이스캐너'

국내서 모바일보안 스타트업을 차린 홍동철 엠시큐어 연구소장은 해킹팀으로부터 유출된 문건에서 취약점을 분석, 여러 도감청에 악용되는 스파이앱 설치여부를 검사할 수 있는 '스파이스캐너(SpyScanner)'에 관련 내용을 업데이트했다.(관련링크)