각국 정부와 정보기관에 원격감시프로그램(RCS)을 판매하던 이탈리아 보안업체 ‘해킹팀’의 정보유출 사건으로 대혼란이 빚어지고 있다. 유출된 정보로 국가정보원이 이 회사로부터 컴퓨터 및 스마트폰용 해킹프로그램을 2012년 두 차례 구입한 사실이 공개됐다. 우리나라 정치권은 이를 불법 도·감청 이슈로 인식하고 있지만 정작 관심을 가져야 할 부분은 따로 있다. 대응책이 없는 사이버 공격 무기(제로데이 취약점)가 만천하에 공개됐다는 점이다.
음지에서 마수를 뻗고 있는 세계 해킹그룹이 공개된 취약점을 악용하고 있어 각별한 주의가 요망된다. 보안 업계에 따르면 중국은 물론이고 북한 사이버전 조직도 이탈리아 해킹팀이 쓰던 어도비 ‘플래시 플레이어’ 취약점을 사이버 공격에 악용하기 시작했다.
◇사이버 무기 판도라 상자가 열렸다
해킹팀이 공격당하면서 사이버 무기가 무장해제됐다. 그동안 수억원에 팔리던 무기가 인터넷에 무방비 상태로 노출된 상황이다. 사이버 범죄자가 이 틈을 놓칠 리 없다. 특히, 호시탐탐 국내 사이버 혼란을 노리는 북한 사이버 전사에게 노출된 해킹팀 취약점은 놓칠 수 없는 먹잇감이다.
해킹팀에서 공개된 자료는 악성코드가 아니다. 공격을 감행할 수 있는 취약점이다. 취약점에 노출된 사람은 그대로 해커 먹잇감이 된다. 해당 취약점 패치가 없으면 무방비 상태인 셈이다. 해킹팀에서 유출된 익스플로잇은 암호화되지 않았다. 여기에 상세한 설명과 코드까지 들어있어 공격자가 충분이 실제 공격에 악용할 수 있다.
익스플로잇은 악성코드와 달리 실행파일(exe)이 아니라 소스코드 몇 줄로 된 스크립트다. 공격자는 익스플로잇을 만들어 웹사이트나 이메일로 유포한다. 해당 웹사이트에 접속하거나 이메일 링크를 누르면 익스플로잇이 내려온다. 사용자는 익스플로잇에 노출됐는지 알기 어렵다. 공격자는 익스플로잇을 기반으로 다양한 악성코드나 감시 프로그램을 설치할 수 있다.
◇플래시 플레이어 퇴출되나
해킹팀은 공격자의 장난감으로 알려진 어도비 플래시 플레이어를 집중 분석한 것으로 보인다. 플래시 플레이어는 사용 특정 시스템 환경의 영향을 덜 받는다. 인터넷 멀티미디어 이용에 플래시 플레이어는 필수다. 대부분 사용자가 PC에서 플래시 플레이어를 사용하고 있는지조차 모른다. 이 때문에 취약점이 드러난 후 이를 보완한 패치가 나와도 패치는 제대로 이뤄지지 않는다.
해킹팀 자료 유출 이전부터 보안업계는 플래시 플레이어 위협을 경고했다. 2005년 한 가지에 불과했던 플래시 플레이어 취약점은 2010년 60가지로 급증했다. 2013년 56가지, 2014년 76가지였는데 올 상반기에만 130가지를 넘어섰다.
북한 사이버전 전문 연구그룹 ‘이슈메이커스랩’과 ‘사이버워’는 10일부터 북한 해커조직이 해킹팀에서 유출된 최신 플래시 취약점(CVE-2015-5119)을 쓰기 시작했다고 밝혔다. NSHC 레드얼럿팀과 하우리 등 보안기업은 8일 어도비 플래시 취약점을 악용한 랜섬웨어를 경고한 바 있다. 인터넷 이용자는 웹서핑 도중 부지불식간에 랜섬웨어에 감염될 수 있다. 어도비는 긴급 패치를 개발해 배포했다.
레드얼럿팀은 “이번에 해킹팀에서 유출된 것 중 가장 문제가 되는 것이 어도비 플래시 플레이어 취약점”이라며 “유출 이후 소셜 네트워크 서비스에서 확산됐고, 이미 많은 공격자가 이를 사용하는 것으로 확인됐다”고 주의를 당부했다.
알렉스 스테이모스 페이스북 최고보안책임자는 트위터에 “어도비가 플래시를 버려야 한다”고 주장했다. 모질라재단은 파이어폭스 브라우저에서 플래시 기술을 차단한다고 밝혔다.
◇어떻게 대응해야 하나
보안 전문가들은 당분간 플래시 플레이어 사용 자제를 권고했다. 아예 PC 프로그램에서 플래시 플레이어를 삭제하라고 지적한다. 보안이 잘 갖춰지지 않은 웹 사이트뿐만 아니라 모든 사이트를 탐색할 때 플래시 사용에 각별한 주의를 요구했다. 업데이트가 나오면 바로 적용할 수 있도록 어도비 자동 업데이트를 설정하는 것도 방법이다.
김승주 고려대 사이버국방학과 교수는 “최근 사이버 세상에서 취약점이 공개된 후 이를 악용한 공격이 발생하는 데 걸리는 시간이 매우 짧아졌다”며 “한마디로 지옥문이 열린 것이나 마찬가지”라고 설명했다. 김 교수는 “정부와 관계기관이 나서 공공기관과 일반인 등이 사이버 공격 피해를 보지 않도록 구체적 조치 방법을 알려야 한다”고 덧붙였다.
김인순기자 insoon@etnews.com