February 25,2018

은닉해서 무서운 트로이 목마

견고한 보안 검열을 뚫기 위해 사용

FacebookTwitter

사이버 공격의 영향력이 국가 안보에 큰 위협을 줄 정도로 매우 커졌다. 사이버 공격만으로 한 국가의 주요 시설을 파괴할 수 있을 정도이니 말이다.필자는 지난해 정부기관으로부터 사이버 보안 분야의 도서 추천과 논평 작성 요청을 받았다. 그래서 사이버 안보 권위자 ‘빌 거츠(Bill Gertz)’가 저술한 ‘정보전쟁: 전쟁과 평화 (iWar: War and Peace)’를 추천하고, 논평을 작성한 바 있다.

책의 핵심 요지는, 전 버락 오바마 정부의 사이버 공격 대응의 미흡을 비판하고 미국 국가 안보를 위해 사이버 전에 대응하자는 것이다. 사이버 공격 영향력이 커진 만큼, 공감이 가는 주장이었다.

현재 사이버 공격은 1990년대 같은 수준이 아니다. 과거에는 악성코드로 컴퓨터가 망가져 백업하는 경우가 많았다. 또는 홈페이지에 해커가 악성코드를 심어, 사이트 화면에 이상한 사진이 올라오는 경우도 많았다. 그러나 지금은 이런 현상을 찾아보기 힘들다.

국가 간에 일어나는 사이버 공격 현황 모습.  ⓒ Flickr

국가 간에 일어나는 사이버 공격 현황 모습. ⓒ Flickr

이는 해커들이 사라져서가 아니라, 사이버 공격의 목적이 변했기 때문이라고 할 수 있다.

1990년대의 경우 대부분 해커는 본인의 컴퓨터 기술 능력을 입증하기 위해 사이버 공격을 가하는 경우가 많았다. 피해도 컴퓨터 기기 하나 고장 나는 수준에 불과했다.

그러나 2000년대 전자 상거래와 인터넷 뱅킹이 확산하면서, 사이버 공격으로 금전적인 이득 획득이 가능해졌다. 그리고 이러한 범죄는 국가 차원으로 확대되어 이뤄지고 있다. 버라이즌(Verizon)이 2014년 발간한 ‘정보 유출 조사 보고서(Data Breach Investigation Report)’에 따르면, 전체 사이버 공격의 88%가 정부와 같은 기관의 주도에 의한 것이다. 장난에서 국가 전쟁으로 발전한 셈이다.

사이버 공격 변화 변화로 탄생한 ‘트로이 목마’    

사이버 공격의 목적이 변함에 따라, 공격 방식도 변했다. 과거 사이버 공격의 경우 드러내는 경우가 많았다. 다시 말해 해커의 능력을 과시하기 위해, 눈에 띄는 공격을 많이 했다.

그러나 지금은 그렇지 않다. 더욱더 은밀한 방식의 사이버 공격을 하는데, 이는 자신의 범죄를 숨기기 위함이다.

예를 들어 사이트에 악성코드 심는 것에 성공했을 때, 과거처럼 사이트 화면을 위변조하지 않는다. 다만 사이트를 몰래 악용해 사이트 방문자를 악성코드에 추가 감염시킨다. 이 또한 사이트 방문자들을 모르게 악성코드를 감염시킨다.

현재의 사이버 공격은 해커가 목표에 도달할 때까지 사이버 공격을 은닉시키는 데에 초점을 두는 경우가 많다. 그렇게 해야 사이버 공격 성공률이 올라가기 때문이다.

2011년 4월 사이버 공격으로 인해 농협 금융 전산이 마비되는 사건이 있었다. 이로 인해 컴퓨터 등 기기 파괴로 인한 물리적 피해만 최소 80억 원에 달한다.

당시 사이버 수사에 따르면, 2010년 9월 하청업체 직원이 영화를 다운로드 받으면서 악성코드에 감염된 것이 화근이었다. 악성코드는 주요 전산망에 침투하기 전까지 약 6개월간 숨어서 여러 직원의 컴퓨터를 옮겨 다녔다.

고대 트로이 전쟁에서 그리스 승리로 이끈 트로이 목마 모습 ⓒ Vimeo

고대 트로이 전쟁에서 그리스 승리로 이끈 트로이 목마 모습 ⓒ Vimeo

이처럼 사이버 공격 방식이 변함에 따라 ‘트로이 목마 (Trojan Horse)’라는 신종 악성코드가 등장하게 되었다. 이름을 트로이 목마로 명명한 이유는 고대 그리스 신화의 트로이아 전쟁에 등장하는 트로이 목마의 성격과 유사하기 때문이다.

트로이아 전쟁은 기원전 13세기 스파르타 왕비 헬라나가 트로이 왕자 파리스에 의해 납치를 당하면서, 그리스와 트로이아 간에 벌어진 전쟁이다. 그리스는 10년 동안 트로이아 성을 공격했으나 성벽이 견고해서 뚫을 수 없었다.

그래서 성을 뚫을 계략으로 신을 위한 선물로 위장한 거대한 목마를 짓게 되는데, 바로 이 목마가 트로이 목마이다. 사실 트로이 목마 안에는 수십여 명의 무장 병사들이 숨어 있었다. 조각상에 매혹된 트로이아 왕은 성안으로 목마를 끌고 오게 되고, 숨어 있던 병사들은 한밤에 성벽 문을 몰래 열어서 트로이아 성을 함락시키는 데에 큰 역할을 하게 된다.

트로이 목마 악성코드 또한 이와 성격이 유사하다. 트로이 목마 악성코드의 사전적 정의는 정상 파일로 위장한 악성코드를 말한다. 정의가 조금 애매하다. 대부분 악성코드는 정상 파일로 위장한 경우가 많기 때문에, 해당 정의는 트로이 목마에만 국한되지 않는다.

보안 전문가로서 트로이 목마를 좀 더 명확하게 정의하면, 사이버 공격의 목적을 달성하기 위해 정상 파일로 위장해 보안 검열을 피하고 감염시킨 기기에 은닉하는 악성코드를 트로이 목마라고 한다.

정리하면, 그리스 신화에 나오는 트로이 목마와 성격이 같다고 할 수 있다. 트로이 목마는 무장 병사를 숨겨 목마에 숨기고 평범한 목마처럼 위장해 견고한 트로이아 성벽을 뚫었다면, 트로이 목마 악성코드 또한 정상 파일로 위장한 체 공격용 악성코드를 숨김으로써 견고한 보안 검열을 뚫는다.

스턱스 넷으로 피해를 본 이란 나탄즈 원자력 발전소 모습 ⓒ 위키미디어

스턱스 넷으로 피해를 본 이란 나탄즈 원자력 발전소 모습 ⓒ 위키미디어

트로이 목마 악성코드의 두 가지 특징

앞서 언급한 트로이 목마 정의에 따르면, 해당 악성코드는 두 가지 성격을 가지고 있다.

첫째, 목표 대상에 도달할 때까지 아무런 공격 행위를 가하지 않는다. 이에 해당하는 대표 트로이 목마로 ‘스턱스넷 (Stuxnet)’이 있다. 스턱스넷은 평상시에는 아무런 공격을 가하지 않는다. 다만 발전소 운영 시스템에 접근하게 되면, 시스템을 비정상적인 행위를 하도록 해서 해당 발전소에 피해를 준다.

2010년 7월 이란 나탄즈 원자력 발전소는 스턱스넷으로 원심 분리기 1,000여 대가 파괴된 적이 있다. 이로 인해 발전소 가동이 약 1년 동안 중단되었다.

둘째, 보안 검열을 피하고자 여러 회피 기술들을 사용한다. 트로인 목마 악성코드를 실제로 분석해본 결과, 여러 우회 기술들이 발견되었다. 대표적으로 가상화 탐지 기술이 최근 트로이 목마에서 주로 발견되었다. 대부분의 악성코드 분석은 가상화 시스템 기반에 악성코드를 분석하는데, 이유는 분석용 기기가 악성코드에 감염되게 하지 않기 위해서이다.

참고로 가상화 시스템은 분석용 기기와 별개의 시스템을 만들기 때문에, 가상화 시스템이 감염되어도 분석용 기기에 피해를 주지 않는다. 따라서 트로이 목마는 가상화를 탐지할 시에는 어떠한 악성 행위를 하지 않음으로써 보안 검열을 회피한다.

악성코드가 아무런 공격을 하지 않는다고 해서 위협적이지 않은 것이 아니다. 오히려 공격 목표를 알 수 없어서 더 무섭다. 속담에 ‘무소식이 희소식’이라는 말이 있다.

사이버 보안에서는 오히려 반대이다. ‘유소식이 희소식’인 셈이다. 다시 말해 오히려 사이버 공격을 당했다고 알려주는 것이야말로 더없이 좋은 소식이다. 대응하면 되기 때문이다. 그런데 사이버 공격을 당했다는 사실을 모르면, 해커의 손아귀에 놀아날 수밖에 없다.

의견달기(0)