파괴형 악성코드, 올림픽 개회식 방해 목적

시스코 탈로스 "하드코딩 계정정보 윈도 감염 확산"

컴퓨팅입력 :2018/02/15 09:10    수정: 2018/02/15 09:19

최근 개회식에 맞춰 평창동계올림픽 네트워크 시스템에 장애를 일으킨 사이버공격 수단은 지난해 출현한 '낫페트야'와 '배드래빗'과 유사한 파괴형 악성코드로 파악됐다.

랜섬웨어처럼 시스템과 데이터를 볼모로 이익을 얻으려는 것이 아니라 시스템을 망가뜨려 IT기반 서비스 가동이나 운영을 방해하려는 의도였다는 의미다. 이 악성코드는 '올림픽 파괴자(Olympic Destroyer)'로 명명됐다.

■ 무슨 일 있었나…"9일 개회식중 현장 네트워크, 홈페이지 운영 장애"

평창올림픽 개회식이 열리던 지난 9일 오후 현장 유무선 네트워크 시스템에 장애가 발생했다. 동아일보, 연합뉴스 등의 보도에 따르면, 이날 장애로 메인프레스센터(MPC) IPTV 영상 전송과 공식 홈페이지 운영이 일시 중단됐다.

IPTV 영상 전송은 몇 분 뒤 정상화됐고 홈페이지는 익일인 10일 오전 복구됐다. 경기 진행과 선수, 관중의 보안과 안전에는 영향을 미치지 않았다. 이후 지난 11일 올림픽 조직위원회와 국제올림픽위원회(IOC)는 '해커의 사이버공격'이 장애 원인이라 밝혔다.

평창동계올림픽 개회식이 진행된 2018년 2월 9일 현장 인터넷과 IPTV, 홈페이지 운영 장애가 있었다. 사이버공격에 따른 네트워크 장애로 확인됐다. [사진=PIxabay]

11일 영국 가디언은 이전부터 올림픽을 겨냥한 러시아 해커의 사이버공격 우려가 증폭돼 왔다고 지적했다. 러시아는 4년전 소치올림픽 기간중 국가차원 도핑을 주도한 탓으로 평창올림픽에 선수단 출전금지를 당했다.

조직위 측은 공격에 러시아가 연루됐는지 여부를 확인해주진 않았다. IOC 커뮤니케이션 총괄 마크 애덤스는 공격 배후가 어딘지 개인적으로는 모른다면서도 "올림픽 운영 시스템 보안을 확보해야 하는 현재 세부내용을 밝히는 건 도움이 되지 않는다"며 "온전한 보고서를 만들고 아마 공개하게 될 것"이라고 언급했다. [☞원문보기]

관련 정보가 전무한 건 아니다. 평창올림픽 공식발표와 별개로, 지난 12일 미국 IT업체 시스코시스템즈의 '탈로스인텔리전스' 소속 사이버위협정보분석 전문가들이 평창올림픽 사이버공격 관련 정황을 추적, 분석한 결과를 일부 공개했다.

공식블로그에서 탈로스인텔리전스 분석가들은 공격에 사용된 악성 소프트웨어(SW) 샘플을 일부 확보했다고 밝혔다. 이들 악성SW가 어떻게 평창올림픽을 위해 운영되는 네트워크로 침입했는지는 불분명하지만, 공격자는 평창올림픽 네트워크 시스템을 잘 이해하고 있을 것이라고 추정했다. [☞원문보기]

■ "낫페트야·배드래빗 유사 기법 활용해 계정탈취, 감염확산"

분석가들은 해커의 배후가 아닌, 악성SW 동작 특성과 세부 공격기법에 초점을 맞췄다. 우선 "맬웨어 제작자는 사용자명, 도메인명, 서버명, 그리고 확실히 패스워드같은 올림픽대회 인프라의 여러 기술적 세부정보를 알았다"며 "우리는 (악성SW의) 바이너리 안에서 개인용 계정 44개를 식별했다"고 지적했다.

평창올림픽 인터넷서비스 도메인에 접속할 때 쓸 수 있는 수십개 계정의 아이디와 패스워드가 악성코드의 파일 안에 새겨져 있었다는 뜻이다.

네트워크장비업체 시스코시스템즈의 보안분석팀 탈로스인텔리전스에서 평창동계올림픽 사이버공격에 쓰인 악성코드 샘플의 분석결과를 공개하며 악성코드를 '올림픽파괴자'라 명명했다.

분석가들은 또 악성SW의 추가 설치를 유도하는 드로퍼(dropper)의 동작 방식에 주목했다. 드로퍼는 앞서 언급한 내장된 계정정보 44개뿐아니라, 또다른 계정을 사용하기 위한 계정탈취 악성SW를 동원한다.

계정탈취 악성SW는 컴퓨터에 설치된 웹브라우저와 운영체제(OS)로 수집되는 다른 사용자의 로그인 및 패스워드 동작에서 또다른 계정정보를 가져온다. 드로퍼는 이를 통해 스스로를 네트워크의 다른 영역으로 퍼뜨렸다. 공격 대상은 인터넷익스플로러(IE), 파이어폭스, 크롬 브라우저와 윈도 계열 OS 기반 시스템이었다.

드로퍼를 통해 출현하는 계정탈취 악성SW의 구성요소 2가지는 각각 '123'과 'pipe'로 명명됐다. 그중 하나(pipe)가 공격 시작 단계와 이어지는 악성SW 추가 단계 사이에서 일종의 '통신채널'로 쓰였다.

공격에 필요한 계정 사용자명과 패스워드를 건네고 받는 통로 역할을 한 것이다. 이는 지난해 출현한 낫페트야('NotPetya' 또는 'Nyetya')와, 그 변종 배드래빗(BadRabbit)의 수법과 같았다. 두 악성코드는 랜섬웨어 흉내를 내지만, 애초에 복구를 허용하지 않고 감염 대상을 망가뜨리는 특성을 갖고 있었다. [☞관련기사1] [☞관련기사2]

드로퍼는 감염된 윈도OS 컴퓨터에서 다른 컴퓨터를 탐색한다. 이를 위해 '윈도매니지먼트인스트루멘테이션(WMI)' 서비스 요청을 통해 동일한 액티브디렉토리 경로내 모든 시스템 목록을 얻는다.

그리고 윈도API 요청을 사용해 윈도의 TCP/IP ARP 프로토콜 테이블도 확인한다. 이렇게 감염시킬 대상 컴퓨터를 찾아내고 거기 접속하면, 악성SW는 윈도 관리툴 'Psexec'를 사용한다. 이 툴로 감염 시스템에서 자신을 복사하고 감염 확산 동작을 반복하는 비주얼베이직스크립트(VBSript) 코드를 원격 실행한다.

■ "복구불능 상태 유도, 시스템 못 쓰게 만들려는 공격의도"

그리고 탈로스인텔리전스 분석가들이 파괴(Destructor)라 명명한 단계로 이어진다.

시스코 탈로스 분석가들이 파악한 악성코드 내용 일부. 평창동계올림픽 공식 인터넷도메인에 접속할 수 있는 관리용 계정 사용자명과 패스워드가 하드코딩돼 있었다.

파괴 단계는 이렇게 진행된다. 감염 시스템의 명령줄 실행프로그램 cmd.exe에서 vssadmin.exe 툴을 사용해, OS에 저장돼 있는 모든 섀도카피(자동 볼륨 백업 데이터)를 삭제해버린다. 다음으로 wbadmin.exe 툴을 사용해 윈도OS의 백업 카탈로그 역시 삭제한다. 이후 OS 부팅시 관련 데이터 정보를 설정하는 bcdedit.exe 툴을 사용해, OS 시작단계 문제를 해결할 수 있는 '윈도복구콘솔'이 동작하지 못하게 만든다. 이렇게 기본 복구 수단이 모두 제거돼 시스템을 복구하기 까다로워질뿐아니라 시스템이벤트로그가 삭제돼 추적과 사후분석도 어려워진다.

분석가들은 "모든 가용 복구 수단을 제거하는 방식은 이 공격자가 감염 대상 기기를 쓸 수 있는 상태로 놔둘 생각이 없음을 보여 준다"며 "이 악성SW의 목적은 호스트 파괴 동작을 수행하고, 컴퓨터 시스템을 오프라인으로 만들고, 원격 데이터를 제거하는 것"이라고 요약했다. 그리고 결론에서 이들은 "파괴적 공격은 종종 공격의 성격으로 고려하게 한다"며 "분열(disruption)이 이런 공격 유형에서 명확한 목표고, 공격자들은 이로써 개회식에서 올림픽 위원회를 당황케 했을 것"이라 추정했다.

지난 12일 미국 뉴욕타임스 보도에 따르면, 탈로스 분석가들은 공격자들이 감염 시스템에 더 많은 피해를 입힐 수 있었지만 그럴 여지를 많이 남긴 채 악성행위를 중단한 것으로 보고 있다. 여전히 감염된 시스템을 재부팅해 피해를 회복시킬 여지를 남겨 줬다는 지적이다.

관련기사

탈로스의 시니어 테크니컬 리더, 크레이그 윌리엄스는 그 이유가 "추정컨대 그걸로 정치적인 메시지를 내려 한 것"이라고 언급했다. 보도는 보안업체들이 배후를 대놓고 지목하진 않았지만 일부 단서가 러시아 해킹그룹 '팬시배어'와 연관된다는 추정을 제시했다. [☞원문보기]

시스코 탈로스 분석가들이 파악한 악성코드 내용 일부. 접속에 성공한 윈도 시스템에서 내장 명령어와 관리툴을 사용해 백업 데이터, 복구 카탈로그, 부팅시 복구기능 동작을 삭제한다.

그러나 누구도 악성SW가 어떻게 전달됐고, 어떻게 올림픽 네트워크 시스템을 최초로 감염시켰을지를 알아내진 못했다. 탈로스 분석가들은 추정할만한 감염 경로와 수단은 여러가지 있을 수 있다고 봤다. 다만 "공격자가 이미 (올림픽을 위해 운영되는 네트워크) 환경에 접근할 수 있었다면, 이 공격은 원격으로도 수행될 수 있다"면서 "이는 공격자들이 개막식 진행 시점을 정밀하게 노리고 그들이 어느 시간에 영향을 줄지 통제할 수 있게 했을 것"이라고 덧붙였다.