이석원 기자
IBM 사이버 보안 부문인 엑스포스 아이리스(X-Force Incident Response and Intelligence Services)가 중동 에너지 산업 등을 대상으로 하는 새로운 데이터 삭제 악성코드인 제로클리어(ZeroCleare)를 발견했다고 보고했다. 팀에 따르면 제로클리어는 이란 지원을 받은 해커 집단에 의해 만들어진 것으로 보인다고 한다.
지금까지 제로클리어를 이용한 공격 증거는 발견되지 않았다. 엑스포스 아이리스 측은 이에 따라 제로클리어가 최근 개발된 악성코드일 가능성을 지적하고 있다. 제로클리어의 표적은 중동 에너지 산업 부문으로 보이며 악성코드 분석 등을 통해 제로클리어가 이란의 지원을 받는 것으로 보이는 해커 집단 APT-34와 연관된 것으로 보인다고 밝혔다. 제로클리어는 석유와 가스 기업을 대상으로 2012년 사우디아라비아에서만 3만대 이상 컴퓨터를 파괴한 샤문(Shamoon)이라는 악성코드와 높은 수준으로 유사성을 보인다고 한다.
샤문과 마찬가지로 제로클리어는 윈도를 탑재한 PC의 마스터 부트 리코드 MBR과 디스크 파티션을 덮어 공격한다. 공격에선 하드디스크 드라이버(RawDisk by ElDos)를 대상으로 한다. 보안팀에 따르면 국가 지원을 받는 해커 집단은 합법적 도구를 공급하는 업체가 상정하지 않는 방법을 악용하는 경우가 자주 있다고 한다.
제로클리어는 표적 장치에 액세스하기 위해 먼저 네트워크 계정 암호를 무차별 대입하는 공격으로 돌파하고 이후에는 차이나 초퍼(China Chopper)처럼 웹 쉘을 대상 단말에 설치해 서명하지 않은 로디스크(RawDisk), 서명되어 있지만 취약한 오라클 버추얼박스 드라이버를 이용해 서명 확인 메커니즘을 방지하고 서명하지 않은 로디스크 드라이버를 실행한다. 이렇게 제로클리어는 암호를 돌파한 네트워크에 연결된 컴퓨터에 확산되며 수천 대에 이르는 컴퓨터에 영향을 줄 수 있다.
또 동일 공격자는 합법적 원격 접속 소프트웨어인 팀뷰어 설치도 시도하고 있다. 이를 발판으로 자격증명 도난 도구로 알려진 소프트웨어(Mimikatz)를 이용하고 침해한 서버에서 더 많은 네트워크 자격 증명을 훔치는 것이다. 보안팀은 제로클리어는 특정 부문이나 조직을 명확한 타깃으로 하고 있다고 주장하고 있다. 다만 표적이 된 조직명은 공개되지 않았다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
