By LILY HAY NEWMAN, WIRED US

최근 들어 소프트웨어 거래 기반 감시 업계의 강력한 모바일 스파이웨어 툴에 대한 경각심이 커졌다. 테크 기업과 각국 정부 모두 스파이웨어의 위협 규모에 맞서 싸우는 데 난항을 겪었기 때문이다. 그러나 노트북과 데스크톱 PC를 겨냥한 스파이웨어는 국가 주도 감시 공격부터 금전 갈취 목적 사기 범죄까지 각종 사이버 공격에서 매우 흔한 일이다. 사이버 보안 사건 대응 기업 볼렉시티(Volexity)와 루이지애나주립대학교 연구팀이 스파이웨어의 위협이 심각해지는 상황에 주목해, 라스베이거스에서 8월 6일부터 11일까지 진행된 블랙햇 보안 컨퍼런스(Black Hat security conference) 현장에서 윈도10과 맥OS 12, 리눅스 컴퓨터의 PC 스파이웨어를 추가로 퇴치하고자 전문가가 활용할 수 있는 새로이 등장한 훌륭한 툴을 선보였다.

종종 키로그를 표적으로 삼고, 사용자의 마우스 움직임과 클릭 내용을 추적하거나 컴퓨터 마이크를 통해 오디오를 듣고 카메라로 사진이나 영상 파일을 탈취하는 등 해커 세력이 널리 악용하는 PC 스파이웨어는 감지하기 어렵다. 해커 세력이 의도적으로 발자국을 최소화하도록 설계했기 때문이다. PC 스파이웨어는 주기적인 애플리케이션과 같이 피해자의 하드드라이브에 직접 설치하기보다는 멀웨어나 주요 구성요소는 피해자 컴퓨터의 메모리나 RAM에만 존재한 채로 실행된다.

초기 영역에서 발생한 일에 접근하기 위한 기법 개발에 매우 적합한 메모리 포렌식 현장을 살펴볼 수 있다. 연구팀은 컨퍼런스 현장에서 오픈소스 메모리 포렌식 프레임워크인 볼라틸리티(Volatility)의 발견 결과를 기반으로 개발한 신규 감지 알고리즘을 공식 발표했다.

볼렉시티 총괄 관리자이자 수석 개발자인 앤드류 케이스(Andrew Case)는 와이어드에 “5~6년 전의 메모리 포렌식은 사건 대응과 법률 집행 기관이 현장에서 사용하는 방식 모두 지금과 큰 차이가 있었다. 외부에서도 멀웨어 집중 조사를 시작하는 시점에 메모리 포렌식이 필요하다. 그러나 법원 증거나 법률 사건 처리 과정의 증거로 사용할 메모리 샘플의 증거나 과학적 조사는 기대한 바와 같이 실행된다는 점과 알고리즘이 유효하다는 점을 알아야 한다. 블랙햇 시큐리티 컨퍼런스에서 최근 발표한 알고리즘은 검증된 프레임워크 구축 노력의 일부분으로 매우 중요한 새로운 기법이다”라고 설명했다.

케이스는 볼렉시티를 포함한 여러 보안 기업이 공격 과정에 메모리 전용 스파이웨어를 배포하는 실제 사례를 주기적으로 관찰하기 어려워진 탓에 확장된 스파이웨어 감지 툴이 필요하다는 사실을 강조한다. 일례로, 2022년 7월 말, 마이크로소프트와 보안 기업 RiskIQ는 오스트리아 상업용 스파이웨어 공급사 DSIRF가 판매한 서브제로(Subzero) 멀웨어의 감시를 억제할 상세한 발견 내용과 공격 완화 방법을 밝힌 문서를 발행했다.

마이크로소프트와 RiskIQ 연구팀은 “서브제로 공격 대상이 돼, 지금까지 관찰한 피해 기관 중에는 오스트리아와 영국, 파나마 법무법인과 은행, 전략 컨설팅 기업 등이 포함되었다”라고 작성했다. 연구팀은 “서브제로의 주요 페이로드가 감지를 피하기 위해 메모리에만 단독으로 존재한다. 키로그와 스크린샷 캡처, 파일 제거, 원격 쉘 실행, 임의 플러그인 실행 등 다양한 공격 수법이 포함되었다”라고 덧붙였다.
 
특히, 연구팀은 다른 운영체제가 하드웨어 기기나 센서, 키보드 및 카메라와 같은 구성 요소에 통신하는 방식을 두고 정확한 감지 능력에 특히 초점을 맞추었다. 시스템의 다양한 부분의 실행과 서로 소통하는 방식을 관찰하면서 새로운 행동과 연결 사항을 본 뒤 메모리 포렌식 알고리즘이 더 악의적일 수도 있는 활동을 찾고 분석하도록 한다. 예를 들어, 한 가지 잠재적인 예시로 항상 실행 중인 운영체제 처리 감시를 언급할 수 있다. 해당 기능은 사용자의 시스템 로그인을 지원하고, 추가 코드 주입 시 경고 분류를 한다. 실행 도중일 때는 악성 조작 징조를 추후 도입할 수 있다.

케이스는 블랙햇 시큐리티 컨퍼런스 현장에서 “사건 대응 현장에서 작업한다면, 항상 멀웨어를 보게 될 확률이 높다. 실제로 멀웨어가 매일 의뢰인을 공격 표적으로 삼는 사례를 본다. 다른 보안공급사의 보고서를 보면, 해커 세력이 조직 내 연구팀이나 기업 임원, 혹은 개인까지 특정 대상을 공격 대상으로 삼은 상태에서 멀웨어 배포 기기는 피해자의 기기에서 매우 민감한 정보를 최대한 이용한다”라고 말했다.

연구팀은 주어진 시간에 기기 메모리에서 발생한 일을 확인하기 위한 포렌식 분석 작업을 위해 메모리를 공격 개시 시점에 존재한 모든 것을 담은 비공식 파일로 전달했다. 만약, 노트북 RAM 용량이 16GB인 상태에서 메모리가 가득 찼다면, 해당 기기에서 16GB 파일을 빼낼 수 있다. 그러나 실시간 공격 감지를 위해 기관은 기기에 먼저 포렌식 모니터링 툴을 설치해야 한다. 모든 운영체제가 수월한 모니터링을 지원하지는 않는다.

특히, 애플은 시스템 시각화 최대화를 위해 맥OS와 iOS 접근을 차단한 것으로 유명하다. 애플은 사용자가 엄격한 제어가 된 애플 생태계 내부에서 시스템 작동을 위해 사용자에게 맥OS와 iOS 접근 수준이 필요하지 않다고 판단했기 때문이라고 밝혔다. 그러나 여러 가지 이유로 애플의 맥OS 및 iOS 접근 차단이 논란이 되었으며, 일부 보안 옹호론자와의 갈등을 일으켰다. 보안 옹호 세력은 특히 iOS를 중심으로 애플의 소프트웨어가 예상치 못하게 발생할 때 해커 세력이 악용할 수 있는 접근 방식을 제공한다고 주장했다. 방어 세력의 시스템 관리 심층 분석 정보와 제어 접근 수준이 제한적이기 때문이다.

케이스는 “공격 악용이 더 어려워지면서 시스템에서 멀웨어가 영원히 지속하기 어려워질 것이다. 그러나 포렌식도 더 어려워지므로 보안 논쟁은 멀웨어의 존속성과 포렌식이라는 두 가지 측면에서 이어질 것이다”라고 말했다.

그러나 연구팀은 세 가지 주요 데스크톱 운영체제용 감지 툴 개발 작업 진전을 거둘 수 있었다. 케이스는 멀웨어가 널리 확산될 수 있는 만큼 최대한 스파이웨어를 감지한다는 단순한 목표를 두었다는 사실을 강조했다.

케이스는 “셀 수 없을 정도로 많은 미국 등 세계 각국의 맞춤 공격 피해 기관과 협력한다. 바로 기관 자체가 스파이웨어 공격 표적이 된다. 그러나 개인이 기관이나 정치적 운동 내부에 포함된 사례도 많다. 바로 스파이웨어 공격 대상이 되는 이들이다. 연구를 계속 진행할수록 포렌식 툴이 더 훌륭해질 것이며, 해커 세력의 행동을 더 많이 파악하고 공격을 개시하여 시스템 환경에 접근하여 머무른 뒤 원하는 데이터를 손에 넣기 더 어렵도록 할 것이다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Spyware Hunters Are Expanding Their Tool Set