요 몇일 사이에 두쿠라는 악성코드가 보안업계에 초미의 관심사로 등장했다. 하지만 이 두쿠(Duqu) 2.0 이라 명명된 악성코드는 그 실체가 아직도 밝혀지지 않고 있다.
일반적인 악성코드와는 다른 두쿠(Duqu 2.0)
일반적으로 악성코드는 PC나 서버에 파일이라는 “흔적”을 남긴다.
악성코드 분석 전문가인 리버스엔지니어링 전문가들은 이 파일을 가져다가 분석하고 실행시켜보면서 어떤 레지스트리를 수정하고 어떤 파일을 생성하며 어떤 취약점을 공격하는지를 분석한다. 이 작업은 전문가들에게도 매우 고되고 힘든 작업이다. (쉽게….노가다..다.. 사명감이나 재미를 느끼지 못한다면 그 일을 하지 못한다고 말하고 싶다.)
그런데 이 두쿠2.0은 파일을 남기지 않는다고 한다. 게다가 어떠한 시스템의 레지스트리도 건드리지 않는다고 카스퍼스키는 밝혔다. 즉 이상을 느낀 사람이 컴퓨터를 리부팅하면 그 컴퓨터는 깨끗한 상태가 되기 때문에 어떤 공격을 당했는지 어떤 파일이 유출되었는지 전혀 알 수 없다고 한다. 기술적으로 불가능하지는 않겠지만 여지껏 볼 수 없었던 새로운 개념의 악성코드다.
때문에 카스퍼스키도 매우 난감해하고 있는 것으로 보인다. 아래는 카스퍼스키 CEO의 인터뷰 내용 중 일부다.
유진 카스퍼스키 CEO는 “공격자가 누구인지 모르겠지만 우리 회사에 대해 많은 공부를 하고 자료를 조사한 게 틀림없어 보입니다. 아마 지금도 감시를 하고 있을 겁니다. 특히 저희의 백신 기술이나 분석 자료를 위주로요. 또 저희의 특별한 멀웨어 감지 노하우도 찾고 있겠죠”라고 자신의 의견을 밝혔다.
카스퍼스키는 두쿠 2.0의 기술적인 내용들도 함께 공개했다. 그에 따르면 두쿠 2.0은 세 가지 제로데이 취약점을 공략하고 있는데 이 중 하나는 지난 화요일 MS가 패치를 한 것으로 정식 명칭은 CVE-2015-2360이다. 나머지 두 개는 CVE-2014-6324와 아직 밝혀지지 않은 취약점이라고 한다. “아직까지 이 세 번째 버그는 미스터리입니다. 공격자가 피해자의 브라우저 히스토리와 인박스를 죄다 지웠거든요. 그래서 최초 공격이 어떻게 이루어졌는지 알 수가 없습니다.”
“예상하기로는 굉장히 고급화되고 맞춤화된 스피어피싱 공격이었을 것 같습니다. 거기에는 악성 웹사이트 링크가 있었던 것으로 보고요. 아마 CVE-2014-4148 정도가 제일 가까운 버그가 아닐까 합니다.” 이는 카스퍼스키의 최고보안분석가인 커트 봄가트너(Kurt Baumgartner)의 설명이다.
남겨져 있는 두쿠2.0의 파일이 없기 때문에 침투 경로를 파악하는 것이 매우 힘들다는 내용이 요점이다.
게다가 이 두쿠2.0이 과거 SCADA망을 공격했던 스턱스넷과도 연관이 있을 것이라 예상하고 있다.
카스퍼스키 랩의 세계 리서치 및 분석 팀의 책임자인 코스틴 라이우(Costin Raiu)는 얼마 전 개인 트위터를 통해 두쿠 2.0의 모듈 중 하나를 화면으로 출력한 스크린샷 이미지를 공개했다. “이 파일이름과 경로를 어디서 본적이 있다면 우리에게 알려달라”는 트윗과 함께 말이다.
하지만 아직 아무도 제대로 된 정보를 카스퍼스키에 제보한 것 같지는 않다. 다만 여기에 등장하는 파일의 이름 중에 HMI가 있어 산업통제 시스템이나 SCADA와 관련이 있는 것으로 추측하고 있다. HMI는 인간 기기 인터페이스(human-machine interface)의 준말로 생산산업 내에서는 널리 쓰이는 표현 중 하나다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
위에서 등장하는 파일명은 아마도 메모리상에 존재하던 두쿠2.0을 분석할 때 나온 파일명으로 보인다. 실제 파일로는 존재하지 않기 때문이다. HMI라는 용어가 제조산업 특히 발전사에서 사용하는 용어임에는 틀림없다. HMI라는 단어가 씌었다고 해서 꼭 SCADA망과 같은 제어망을 목표로 했던 스턱스넷과 관련이 있다고 장담할 수는 없겠지만 충분한 개연성을 갖고 있을 가능성도 배제해서는 안될 것이다.
대응 방안
사실 근본적인 대응방안은 MS의 운영체제와 그 운영체제 위에서 구동되는 애플리케이션을 사용하지 않는 것이 가장 좋은 대응방안일 것이다. 하지만 현실적으로 이는 불가능한 대응방안이다.
내가 생각하는 특별한 대응방안은 “없다”이다.
특별한 대응방안이 없다는 것은 역으로 현재까지 알려진 일반적인 대응 방안을 충실히 이해하는 것이 가장 확실한 대응방안이 될 수 있다고 본다. 이번 두쿠 2.0의 감염경로를 분석한 자료를 보면 MS-Word 파일과 같은 파일을 인터넷에서 다운받아서 최초 감염이 일어난 것으로 예상하고 있는 것을 알 수 있다. 물론 이 두쿠2.0이 제로데이 취약성을 공격하고 있긴 하지만 “외부에서 침투한 파일”에서 최초 공격이 일어났다는 점은 이전의 피싱이나 파밍과 다를 바 없다.
따라서 외부에서 다운로드 받은 의심스러운 파일, 의심스러운 웹사이트 방문, 의심스러운 이메일 등을 식별할 수 있는 안목을 개개인이 키울 수 있도록 지속적인 교육이 필요하다고 할 수 있다.
그와 더불어 망분리, 성능 좋고 안정적인 보안 솔루션의 도입과 체계적인 운용 등이 어우러질 때 보안사고는 획기적으로 줄어들 것이라는 점을 잊어서는 안된다. 그리고 아울러 “완벽한 보안은 없다”는 경각심을 갖고 상시 모니터링 체계를 유지하는 것도 중요하다.