테크레시피

멀웨어 찾기 위해 FBI가 취한 방법

미국 연방수사국 FBI가 원격 관리 툴로 판매되던 넷와이어(NetWire)라는 멀웨어 판매에 이용되던 도메인을 압수했다고 발표했다. 넷와이어는 원격 관리 도구로 판매됐지만 FBI는 이를 멀웨어로 단정하고 국내외 수사기관과 협력해 관계자 체포에 착수했다.

LA연방당국이 감염된 컴퓨터를 제어하고 다양한 정보를 훔치는 악성코드를 판매하는데 사용된 인터넷 도메인을 압수했다는 걸 미국 사법부 공식 사이트를 통해 발표한 것. 3월 7일 연방 당국은 지난 3월 3일 미국 치안 당국에 의해 승인된 압수 영장을 바탕으로 도메인(www.worldwiredlabs.com)을 압수했다. 이 도메인은 넷와이어라고 불리는 원격 액세스 트로이 목마를 판매하는데 사용됐다는 게 밝혀졌다.

현재 이곳을 방문하면 이 웹사이트는 압수됐다는 표시와 함께 미국 사법부와 FBI 로고가 상단에, 하단에는 유럽연합 경찰 기관인 유로폴 크로아티아 경찰, 취리히주 경찰, 프랑스 통신사 AFP 등 로고가 늘어서 있다.

LA법원에 제출된 문서에선 트로이 목마는 숨겨진 감시를 가능하게 하는 악성코드 일종으로 피해자가 모르는 사이 또는 피해자 허가 없는 관리 제어를 위한 백도어와 컴퓨터에 자유롭고 권한이 없는 원격 액세스를 허용한다고 설명하고 있다.

연방 당국에 따르면 크로아티아 경찰은 3월 2주 열린 법 집행 조치 일환으로 3월 7일 웹사이트 관리자가 되는 크로아티아인 체포에 착수했다. 이 인물은 크로아티아 경찰에 의해 기소될 예정. 또 취리히주 경찰은 이날 넷와이어 인프라스트럭처를 호스팅했던 컴퓨터 서버를 압수했다.

FBI가 넷와이어 배포 사이트에 대해 조사를 시작한 건 2020년이다. 압수 영장을 뒷받침하는 선서 진술서에 따르면 FBI 잠입 수사관은 이곳에 계정을 만들고 구독 플랜 요금을 지불하며 제품 빌더 도구를 이용해 넷와이어 사용자 정의 인스턴스를 구축하는데 성공했다고 한다. 이 도메인에선 넷와이어를 컴퓨터 인프라를 유지하기 위한 합법적 비즈니스 도구라고 홍보했다. 하지만 선서 진술서에선 넷와이어는 악의적 목적으로 사용되는 악성코드이며 소프트웨어는 해킹 관련 포럼에서 홍보됐으며 많은 사이버 보안 기업과 정부 기관이 넷와이어 인스턴스를 문서화했다고 적고 있다.

연방 당국은 이번 발표에 대해 국경을 넘어 활동하는 사이버 범죄자와 싸우는데 필요한 혁신과 유연성을 보여줬다며 컴퓨터리를 사이버 위협으로부터 보호하기 위해 국제적 동맹 관계를 계속 구축할 것이라고 밝혔다. FBI LA 사무소 역시 이번 사건은 크로아티아와 기타 글로벌 파트너와 미국 법 집행 기관간 강력한 협력 관계 결과라고 밝혔다.

다만 보도에 따르면 인터넷 아카이브 웨이백머신으로 이 도메인을 확인하면 사이트에서 넷와이어에 대해 기업이 컴퓨터 인프라 유지와 관련한 다양한 작업을 완료하는데 도움이 되도록 특별히 설계됐다며 이는 모든 원격 컴퓨터 목록을 유지하고 상태와 인벤토리를 모니터링하며 유지 관리 목적으로 이들 중 하나에 연결할 수 있는 단일 명령 센터 역할을 한다고 설명하고 있다.

하지만 보도에선 연방검사국 측으로부터 도메인을 압수할 때 사용된 영장 사본을 입수한 결과 영장에는 넷와이어를 멀웨어라고 판단한 상세가 기재되어 있다고 한다. 영장에는 FBI가 넷와이어 수사를 위해 시작한 태스크포스 일원이 작성한 선서 진술서가 포함되어 있다. 이에 따르면 2020년 10월 5일부터 2021년 1월 12일에 걸쳐 태스크포스 멤버는 넷와이어 라이선스를 구입, 다운로드하고 FBI LA 사무소 컴퓨터과학자에게 넷와이어 데이터를 제공했다고 한다.

기능을 테스트하기 위해 테스트용 컴퓨터에서 넷와이어 빌더 도구를 이용해 넷와이어 사용자 정의 인스턴스를 구축하고 FBI 에이전트가 제어하는 윈도 가상 컴퓨터에 넷와이어를 설치, 이를 통해 모든 단말에 원격 액세스할 수 있는지 실험했다.

테스트 당시 넷와이어는 FBI가 테스트로 넷와이어를 이용해 공격한 머신 소유권이나 운영권, 재산권을 보유하고 있는지 확인해본 적이 없었던 것으로 보인다. 다시 말해 FBI는 넷와이어 사용자가 자신의 소유 또는 관리하는 컴퓨터에서 합법적인 목적으로 넷와이어를 이용하고 있는지 여부를 확인하지 않았다고 결론지었다.

덧붙여 FBI는 넷와이어를 설치한 가상 머신을 이용해 리모트로 임의 머신으로 파일 리모트 액세스, 윈도상 메모장 앱 등 열람과 강제 정지, 보존된 암호 절취, 사용자 키 스트로크 기록, 프롬프트와 쉘 명령 실행, 스크린샷 촬영 등을 테스트했다. FBI는 테스트 당시 원격으로 액세스된 측 단말에 일체 통지나 경고가 표시되지 않았다고 강조한다. 따라서 선서 진술서에 사용자를 대신해 특정 액션을 수행하기 위해 보통 사용자로부터 동의가 필요한 정당한 원격 액세스 도구와는 다르다고 넷와이어를 평가했다.

미국 사법부는 크로아티아 경찰이 웹사이트 운영 종사자를 체포했다고 밝혔지만 용의자 이름은 밝히지 않았다. 하지만 한 보안 저널리스트는 액세스 가능한 DNS 기록과 후이즈 웹사이트 등록 데이터, 공용 데이터베이스 유출로 알려진 데이터를 인덱싱하는 서비스가 제공하는 정보, 심지어 구글+ 프로필 등을 이용해 이 도메인을 운영하던 인물을 마리오 잔코(Mario Zanko)로 식별된다고 설명하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

뉴스레터 구독