2022년 6월, 악명 높은 스파이웨어 공급사 NSO 그룹(NSO group)이 청문회에서 유럽 국회의원에게 유럽연합 회원국 중 최소 5개국 사용자가 강력한 스파이웨어 페가수스(Pegasus) 감시 멀웨어 공격에 노출됐다고 밝혔다. 그러나 NSO 그룹의 스파이웨어가 세계 각지에서 악용된 사례가 널리 알려지자, 사이버 보안 연구 전문가 집단이 채용형 감시 서비스 업계의 규모가 단 한 기업을 넘어서 널리 확장되었다고 경고했다. 6월 23일(현지 시각), 구글 위협 분석 그룹(TAG)과 프로젝트 제로(Project Zero) 취약점 분석팀이 iOS 버전 스파이웨어 소프트웨어인 페가수스가 이탈리아 개발사 RCS 랩스(RCS Labs)의 감시 소프트웨어 개발 원인을 제공했다는 발견 사실을 공개했다.
구글 연구팀은 이탈리아와 카자흐스탄에서 RCS 랩스의 스파이웨어 피해자를 발견했다고 발표했다. RCS 랩스의 스파이웨어는 안드로이드 기기와 iOS 기기 사용자 모두에게 피해를 준 것으로 드러났다. 일주일 전, 보안 기업 룩아웃(Lookout)은 안드로이드 버전 스파이웨어 발견 사실을 밝힌 보고서를 발행했다. 룩아웃이 발견한 스파이웨어는 ‘허밋(Hermit)’이라는 이름으로 알려졌다. 룩아웃은 이탈리아 관료가 2019년, 반부패 수사 당시 허밋 스파이웨어를 사용한 사실을 확인했다. 이탈리아와 카자흐스탄 피해자 이외에도 룩아웃은 확인되지 않은 어느 한 기관이 시리아 북동부 지역에서 특정 세력을 겨냥하여 허밋을 사용한 사례도 발견했다.
구글 위협 분석 그룹 보안 엔지니어 클레멘트 레시그네(Clement Lecigne)는 와이어드에 “구글은 수년간 상업용 스파이웨어 공급사의 활동을 추적하면서 스파이웨어 공급 업계가 소수 공급사에서 전체 생태계로 급속도로 세력을 넓힌 사실을 확인했다”라며, “스파이웨어 공급사는 위험한 해킹 툴이 널리 확산되도록 하며, 자체적으로 스파이웨어 대응 능력을 개발하지 못한 국가의 정부를 겨냥했다. 그러나 스파이웨어 공급 업계의 투명성은 거의 없는 상태이다. 바로 공급사와 스파이웨어 공격 수준 정보를 공유하는 것이 매우 중요한 이유이다”라고 설명했다.
현재 위협 분석 그룹은 현재 추적 중인 스파이웨어 개발사가 30곳이 넘는다고 밝혔다. 모두 정부 지원 고객사를 대상으로 첨단화된 기술적 능력과 수준을 광범위하게 제공한다.
[사진=Pixabay]
구글 연구팀은 허밋의 iOS 버전 공격과 관련, 공격 세력이 마이 보다폰(My Vodafone) 앱과 같이 유명 다국적 모바일 이동통신사인 보다폰(Vodafone)이 출시한 앱으로 위장한 가짜 앱을 동원해 iOS 기기에 스파이웨어를 유포한 사실을 발견했다. 안드로이드 기기와 iOS 기기를 겨냥한 공격 모두 피해자가 메시지 앱처럼 보이는 악성 앱을 설치하도록 속이고, 피해자가 클릭하는 즉시 악성 링크를 유포하였다. 구글은 공격 세력이 현지 인터넷 서비스 공급사와 협력해, 특정 사용자의 모바일 데이터 연결을 중단하고는 SMS로 악성 앱 다운로드 링크를 보낸 뒤 네트워크 서비스 복구를 약속하며, 와이파이 연결 상태에서 가짜 마이 보다폰 앱을 설치하도록 유도했을 가능성을 제기했다.
공격 세력이 악성 앱을 유포할 수 있었던 이유는 RCS 랩스가 유령 기업인 3-1 모바일 SRL(3-1 Mobile SRL)을 통해 애플의 엔터프라이스 개발자 프로그램(Enterprise Developer Program)에 등록했기 때문이라고 분석했다. RCS 랩스는 애플 엔터프라이스 개발자 프로그램에 등록한 뒤 애플의 일반적인 앱스토어 검토 과정을 거치지 않고 피해자가 우회 경로를 통해 악성 앱을 설치하도록 했다.
애플은 와이어드에 스파이웨어와 관련된 모든 계정과 인증 정보 모두 취소했다고 밝혔다.
애플은 2021년 10월 자로 발행한 앱 우회 설치 관련 문제를 다룬 보고서에 “엔터프라이스 인증은 기업 내부 사용자를 위한 기능이지, 앱스토어와 iOS 보호 기능을 우회하는 데 사용할 일반 앱 배포를 위한 프로그램이 아니다. 엔터프라이스 인증 프로그램의 엄격한 통제와 제한 규모에도 불구하고 악성 공격 세력은 암시장에서 엔터프라이스 인증 정보를 구매하는 등 검증되지 않은 방식으로 엔터프라이스 인증 프로그램에 접근한다”라고 기술했다.
프로젝트 제로 연구원인 이안 비어(Ian Beer)는 RCS 랩스의 iOS 멀웨어 유포 시 발생한 악용 문제를 확인할 기술적 분석 작업을 시행했다. 비어 연구원은 허밋이 피해자의 기기 감시 접근 권한을 얻으려 총 6차례 악용된 것을 확인했다. 총 6차례의 악용 사례 중 5차례는 이미 알려졌으며, 오래된 iOS 버전의 널리 알려진 악용 사례이다. 반면, 6번째로 발견된 사례는 발견 당시 알려진 정보가 없는 취약점이었다. (애플은 2021년 12월 자로 해당 취약점 패치 작업을 완료했다.) 6번째로 발견된 악용 사례는 애플, 그리고 업계 전체가 올인원 시스템 온 칩(system-on-a-chip, SoC) 설계로 변경하는 가운데, 애플의 차세대 코프로세서 전반에 걸친 데이터 흐름의 구조적 변화를 악용하였다.
해당 악용 사례는 고도화된 공격 측면에서 전례 없는 사례는 아니다. 그러나 구글 연구팀은 RCS 랩스의 스파이웨어가 채용형 감시 서비스 업계가 기존 해킹 수법을 장악력을 얻기 위한 비교적 새로운 요소 악용과 결합할 때의 광범위한 추세를 반영한다는 사실에 주목했다.
구글 위협 분석 그룹 연구원 베노잇 세븐스(Benoit Sevens)는 “상용화 감시 업계는 탈옥 커뮤니티를 통해 이익을 누리면서 탈옥 커뮤니티 연구 정보를 재사용한다. 이번 허밋의 iOS 기기 공격 사례 6건 중 3건은 공개적 탈옥을 악용했다. 구글 위협 분석 그룹은 초기 사이버 범죄 집단이 활용한 것으로 드러난 공격 수법과 감염 벡터를 재사용하는 여러 감시 소프트웨어 공급사도 발견했다. 다른 사이버 공격 세력과 마찬가지로 감시 소프트웨어 공급사는 첨단화된 악용 수법과 소셜 엔지니어링 공격을 함께 사용해 피해자의 악성 프로그램 설치를 유도한다”라고 말했다.
구글 위협 분석 그룹의 허밋 공격 사례 연구는 모든 사이버 공격 세력이 NSO 그룹과 같은 악명 높은 스파이웨어 그룹처럼 감시 공격에 성공하지는 않았다는 점을 보여준다. 그와 동시에 여러 중소 규모 조직이 기승을 부리는 감시 소프트웨어 서비스 업계에서 협력해, 전 세계 인터넷 사용자가 실제 위험에 노출되도록 한다는 사실을 입증했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202207/4037_5355_190.jpg)
뉴스레터 신청