이탈리아 해킹팀 내부 문건을 빼돌린 사이버 공격은 임베디드 기기 취약점에서 시작된 것으로 드러났다. 기업 네트워크와 연결된 사물인터넷(IoT) 기기의 허술한 보안을 보여주는 대표적 사례다.
25일 업계에 따르면 피네아스 피셔라는 해커는 해킹팀 네트워크로 침입하는 기술을 상세히 소개했다. 지난해 발생한 해킹팀 사건은 한국 국정원이 고객이었던 사실이 알려지며 정치 공방으로 이어졌다. 국정원이 주요 인사 도감청에 해킹팀 원격감시시스템(RCS)를 이용했다는 의혹이 높았다. 해킹팀은 각국 정부 정보기관를 고객으로 두고 해킹 도구를 판매했던 기업이다
최근 인터넷 자료 공유사이트와 질의응답 사이트 `레딧(Reddit)` 등에 해킹팀 공격 방법을 상세히 기록한 문건이 올라왔다. 보안전문가들은 이 방법이 최신 해킹 교과서가 될 것이라고 입을 모았다.
피네아스 피셔라는 해커는 해킹팀 침입기술을 소개했다. 그는 최근 가장 많이 쓰는 스피어 피싱을 쓰지 않았다. 스피어 피싱이란 표적 기업 내 특정인에게 이메일을 보내 악성코드에 감염시키는 수법이다. 기업 내 한 사람만 감염되면 네트워크에 잠입할 수 있다. 해킹팀은 주로 스피어 피싱으로 고객이 원하는 표적에 RCS를 감염시켰다. 해킹팀은 최고의 스피어피싱 전문가다.
해킹팀 해킹은 고난위도 작업이다. 해킹팀이 어떤 기업이나 조직보다 높은 보안 수준을 유지한 탓이다. 사이버 공격 방어가 철저한 기업으로 공격할 포인트가 많지 않았다. 그는 해킹팀이 사용하는 각종 시스템의 알려지지 않은 취약점을 공략했다. 오프소스 저작물관리시스템 `줌라(Joomla)`와 SMTP서버 `포스트픽스(Postfix)`, 임베디드 기기 제로데이 취약점을 찾는데 집중했다.
피셔는 2주에 걸쳐 임베디드 리눅스 기기를 역분석해 원격제어 공격 도구를 만들었다. 어떤 임베디드 기기였는지 구체적으로 명시하지 않았다. 김용대 KAIST 교수는 “공유기나 라우터 등을 역분석해 알려지지 않은 보안 취약점을 찾은 것으로 보인다”며 “해킹팀 해킹이 내부자였다는 예상을 깨고 외부에서 접근한 결정적 증거”라고 설명했다.
해커는 임베디드 기기에 백도어를 심은 후 제대로 작동하는지 테스트했다. 그는 기업 내부 자산을 지켜보면서 취약한 구멍을 발견했다. 해킹팀이 사용 중인 망고DB는 인증이 없었다.
피셔는 해킹팀 백업 데이터를 유출하는데 성공했다. 해킹팀이 쓰던 스토리지 네트워킹 표준(iSCSI) 장비는 내부 서브넷에 접속이 가능했다. 해커는 원격에서 외부 가상사설서버(VPS)를 이용해 해킹팀 백업서버를 접속했다.
피셔는 백업서버에서 도메인 관리자 권한을 찾아냈다. 해킹팀 네트워크가 완전히 장악된 것이다. 이후 해킹팀이 고객과 주고받은 이메일을 전부 내려 받았다.
피셔는 해킹팀 공격을 `윤리적 해킹(ethical hacking)`이라고 표현했다. 해킹팀은 주로 각국 정부 정보기관과 손잡고 정치사회 운동가와 언론인 등을 해킹하고 정보를 빼내는 일을 했다. 피셔는 이런 내용을 세계에 알렸다. 그는 해킹팀 공격 방법 공개는 교육 목적이라고 명시했다.
김인순 보안 전문기자 insoon@etnews.com