오래된 취약점에 대한 익스플로잇 추가해 새로 등장한 가프짓의 변종

[이미지 = iclickart]

가프짓에 감염이 된 장비는 성능이 저하되는 현상을 겪기도 하며, 그러한 장비가 연결된 네트워크의 IP 주소는 블랙리스트 처리될 수도 있다. 가프짓은 약한 비밀번호 등과 같은 취약한 서비스를 통해 로그인 함으로써 장비를 장악하는 게 아니라 익스플로잇을 주로 활용한다. 따라서 취약한 서비스를 꺼두거나 삭제한다고 해도 장비를 감염시킬 수 있다.

이번에 발견된 가프짓 변종은 9월에 최초로 나타났으며, 젠엑스(JenX)라는 봇넷 멀웨어와 경쟁 구도를 가지고 있다. 젠엑스 역시 원격 코드 실행 익스플로잇을 활용하며 장비들을 감염시키는 것으로 알려져 있다. 주로 게이밍 서버, 특히 밸브(Valve) 사의 소스 엔진과 서비스를 공격하는 것으로 유명하다. 가프짓 변종이 게임 서버를 주로 공략하는 건 아니지만, 장비 장악을 위해 익스플로잇 하는 취약점이 젠엑스의 그것과 겹친다.
1) CVE-2017-17215 : 화웨이 HG532에서 발견됨
2) CVE-2014-8361 : 리얼텍 RTL81XX 칩셋에서 발견됨
3) CVE-2017-18368 : 자이젤 P660HN-T1A에서 발견됨

보안 전문가 젠 밀러오스본(Jen Miller-Osborn)은 “가프짓은 애초부터 젠엑스 봇넷 멀웨어의 코드를 바탕으로 개발된 것”이라고 설명한다. “경쟁 구도가 심한 사이버 범죄 세상에서, 이렇게 복제하다시피 한 봇넷 멀웨어가 계속해서 등장한다는 것은, 봇넷을 구성하는 것이 범죄자들 사이에서 꽤나 인기가 높다는 것을 방증합니다. ”이번 가프짓 변종만 봐도, 전문 집단이 오로지 봇넷 구성과 업데이트만을 위해 시간과 노력을 투자하고 있다는 걸 알 수 있습니다. 봇넷 업데이트란 대부분 ‘취약점을 하나 더 익스플로잇 할 수 있게 되었다’는 뜻입니다.“

이번 변종이 지난 버전과 다른 점 역시 공략할 수 있는 취약점의 수라고 정리할 수 있다. “이는 대단히 중요한 부분입니다. 감염 경로가 하나 더 확보되었다는 것이며, 따라서 공격성이 더 높아졌다는 뜻이 되기 때문입니다.” 검색엔진인 쇼단(Shodan)으로 검색했을 때 이번 가프짓에 추가된 취약점 익스플로잇에 당할 수 있는 무선 와이파이 라우터가 약 3만 2천 대인 것으로 나타난다고 한다.

가프짓은 취약점을 찾고 익스플로잇 하기 위해 세 가지 종류의 스캐너들을 사용한다. 스캔을 통해 취약점을 찾아내면 익스플로잇을 시작하는데, 어떤 취약점이 발견되느냐에 따라 악성 서버에서 바이너리를 선택해 드롭시킨다. 그러면서 악성 명령도 제각각으로 전달된다. 따라서 다양한 종류의 디도스 공격이 가능하게 된다고 한다.

가프짓도 게이머를 노리기 시작
위에서 가프짓이 게임 서버를 주로 공략하는 건 아니라고 했지만, 그렇다고 게임 서버에 대한 디도스 공격이 완전히 배제된 것도 아니다. 이번 변종의 경우 VSE라는 유형의 디도스 공격을 할 수 있는데, VSE는 ‘밸브 소스 엔진(Valve Source Engine)’의 준말이다. 유명 게임인 하프라이프(Half-Life), 팀포트레스(Team Fortress) 등의 기반이 되는 엔진으로, VSE 디도스 공격은 바로 이러한 종류의 게임 서비스를 마비시키는 것을 말한다. “누구나 이런 게임들을 자신의 네트워크에 호스팅해서 서비스할 수 있기 때문에, 이 공격이 밸브사를 직접 겨냥한 공격이라고 말하기는 힘듭니다.”

그 외에도 이번 가프짓 운영자들은 포트나이트(Fortnite) 등과 같이 인기가 높은 게임이 호스팅 되어 있는 서버들을 표적으로 삼으면서 다양한 종류의 디도스 공격을 실시하고 있다고 한다. “게임 서버를 공격하는 건 게이머들의 짜증을 유발시키기 위한 목적일 때가 많습니다. 게임 서버 잠시 마비시킨다고 공격자가 직접 돈을 버는 건 아닙니다. 게이머들이 짜증을 내면 게임 회사가 사업적으로 지장을 받기 마련이죠.”

가프짓의 공격 대상이 되는 사물인터넷 장비들이 다양해지고 있다는 것도 주목해야 한다고 밀러오스본은 설명한다. “특히 가정용 혹은 소규모 사무실용 무선 라우터들이 집중 공략 대상이 되고 있습니다. 한 번 감염된 라우터들은 다양한 악성 행위에 활용될 수 있습니다.” 그러나 게이머들의 짜증 외에는 사용자들이 직접적으로 경험하는 피해는 그리 크지 않은 게 대부분이다. 속도가 조금 느려지거나 하는 게 거의 전부다.

“물론 공격자가 한 걸음 더 나아가서 암호화폐를 채굴한다거나, 데이터를 훔쳐낸다거나, 비밀 메시지를 중간에서 가로채거나 한다면 직접적인 피해가 발생할 수 있습니다. 하지만 아직까지 그런 사례는 없습니다. 이렇게 사용자를 직접 건드리지 않았을 때의 장점은, 사용자가 굳이 패치를 하는 등 해결을 위한 노력을 하지 않는다는 것입니다. 그럴수록 공격자는 더 오랜 시간 안정적으로 봇넷을 확보할 수 있게 됩니다. 이런 특성 때문에 사물인터넷 봇넷 공격은 앞으로 더 심각해질 전망입니다.”

가프짓과 유사한 멀웨어의 공격이 앞으로 더 심화될 거라는 예측은 사물인터넷 장비에서 발견되는 취약점들의 수가 증가한다는 사실과도 맞물려 있다. “게다가 사물인터넷 장비의 취약점은 잘 패치되지도 않죠. 이번 가프짓만 봐도 2014년과 2017년에 발견된 취약점을 새롭게 익스플로잇 하기 시작했습니다. 이건 공격자가 잘 하는 게 아니라, 방어자가 허술하다는 점이 더 크게 작용한다는 것의 증거라고 볼 수 있습니다.”

한편, 인스타그램에서는
이렇게 범죄자들이 봇넷을 늘려가는 이유는 무엇일까? 당연히 범죄 시장에 판매하기 위해서다. 그렇다면 이 범죄자들은 실제 제품인 봇넷을 확장시키는 것 말고, 판매 창구는 어떤 식으로 확보하고 있을까? 가장 주요한 곳은 다크웹이고, 그 다음은 인스타그램이나 페이스북, 텔레그램과 같은 소셜 미디어 플랫폼들이다.

이번에 발견된 가프짓 변종의 경우, 운영자들이 경쟁 봇넷을 삭제하기 위한 장치를 심어두기도 했는데, 그 중에 일부 인스타그램 사용자의 이름이 발견될 경우 특정 바이너리를 삭제하라는 명령이 포함되어 있다. 밀러오스본이 이끄는 팀은 가짜 인스타그램 계정을 만들어 해당 인스타그램 사용자에게 접근했고, 그 결과 봇넷을 대여하고 있다는 사실을 발견할 수 있었다.

“판매자들은 봇넷의 소스코드를 판매하고 있었습니다. 저희는 그러한 증거들을 모아 인스타그램 측에 보고했습니다. 해당 계정과 거래가 발생하는 사이트들도 전부 알렸습니다.” 밀러오스본은 “소셜 네트워크 사이트에서 이런 불법 거래가 일어나는 건 생각보다 흔한 일”이라고 지적한다. “범죄자들에게 있어 소셜 미디어는 잠재적 거래자와 접선하기에 가장 편리한 장소입니다. 심지어 소셜 미디어 회사에서 계정을 지운다고 해도, 아주 간단하게 새 계정을 만들 수 있으니까요. 소셜 미디어에 있어서 범죄와의 싸움은 영원히 끝나지 않는 ‘두더지 잡기’와 비슷합니다. 그게 지금 소셜 미디어의 가장 큰 문제입니다.”

3줄 요약

1. 사물인터넷 봇넷 멀웨어인 가프짓, 새 변종 등장.

2. 이번 변종은 게임 서버와 가정용 무선 와이파이 라우터를 집중 공략.

3. 인스타그램에서 이 가프짓의 거래 행위 적발

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=84289&page=1&kind=1]