출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=107593

카자흐스탄에서 고급 스파이웨어가 발견됐다. 안드로이드 사용자들을 노리고 염탐하는 멀웨어인데, 제작자의 전문성이 돋보인다. 아직 공격 배후 조직이나 동기는 확실하지 않지만, 스파이웨어 시장이 생각보다 물밑에서 활성화 되어 있음을 알기에는 충분하다.

[보안뉴스 문가용 기자] 악명 높은 안드로이드 멀웨어가 다시 발견됐다. 이름은 허밋(Hermit)이라고 하며, 모듈 구성을 하고 있고, 카자흐스탄 국민들을 감시하는 데 사용되고 있다고 한다. 이 멀웨어를 운영하고 있는 건 놀랍게도 카자흐스탄 정부인 것으로 보인다. 보안 업체 룩아웃(Lookout)에 의하면 허밋을 카자흐스탄 정부에 판매한 건 이탈리아의 스파이웨어 제조사인 RCS랩(RCS Lab)일 것이라고 한다. 허밋은 이탈리아와 시리아에서도 발견된 적이 있었다. 

안드로이드 생태계에서 스파이웨어는 꾸준히 발견되어 오고 있다. 2021년 11월만 하더라도 보안 업체 소포스(Sophos)는 중동의 APT 단체와 관련이 깊은 스파이웨어를 발견했던 적이 있다. 안드로이드만이 아니라 애플의 iOS 환경에서 발견되는 제로데이 취약점들은 정부 기관들이나 스파이웨어 개발사, 각종 브로커들 사이에서 은밀히 거래되고 있으며, 구글은 얼마 전 최소 8개의 정부가 안드로이드 제로데이 익스플로잇을 거래하여 감시 목적으로 활용한다고 폭로하기도 했었다.

보안 업체 벌칸 사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin)은 “스파이웨어는 전 세계 많은 조직들이 활발히 사용하는 디지털 도구”라고 하며 “정부 기관, 정부 기관의 지원을 받는 해킹 단체, 국가 정보 기관, 사법 기관 등이 주요 사용자”라고 말한다. “누가 어떤 목적으로 사용하던 전문가가 만든 스파이웨어는 개인의 프라이버시를 언제고 심각하게 침해할 수 있습니다.”

스파이웨어로 가장 유명한 건 이스라엘의 회사 NSO그룹(NSO Group)이고, 이들이 만든 페가수스(Pegasus) 역시 스파이웨어의 대명사와 같다. 작년 전 세계 수많은 기자, 활동가, 반정부 인사, 야당 인사들의 아이폰에서 페가수스가 발견되면서 큰 논란이 생겼었다. 세계가 NSO그룹에 분노했고, 미국은 블랙리스트에 이 회사의 이름을 올리기도 했다. NSO그룹의 스파이 행위는 자국민들을 향하기도 했었다는 사실이 알려지며 이스라엘에서조차 분노 여론이 들끓었다.

허밋은 무엇인가?
허밋이 제일 먼저 공격 대상자의 안드로이드 모바일 장비에 설치될 때에는 일종의 프레임워크 형태를 가지고 있다. 감시 기능도 거의 없는 상태다. 그러다가 C&C 서버로부터 전달된 모듈이 하나하나 들러붙으면서 본격적인 스파이웨어가 된다. 안드로이드 멀웨어가 플레이 스토어에 등록되어 피해자들의 장비에 올라타는 방식과 비슷하다.

이렇게 야금야금 악성 기능을 늘리니, 자동 분석 도구를 통해서는 멀웨어와 정상 소프트웨어를 정확히 구분하기가 어렵다. 수동 분석을 하더라도 까다롭기는 마찬가지다. 게다가 공격자가 공격 대상에 따라 모듈 조합을 다르게 가져가니 탐지가 더욱 까다로워진다. 여기에다가 허밋이 애초부터 가지고 있는 탐지 및 분석 회피 기능들까지 있어 좀처럼 발견되지 않는다.

룩아웃의 보안 전문가 폴 셩크(Paul Shunk)는 “모듈 구성 덕분에 허밋의 사업적 가치도 높아지는 것으로 분석된다”고 설명한다. 고객들이 필요한 기능을(모듈을) 별도로 구매하게 될 경우 개발사는 더 안정적으로 수입을 올릴 수 있다는 뜻이다. “게다가 허밋의 설계 및 코딩의 질을 봤을 때 대단히 깔끔하고 고급스럽다는 걸 알 수 있습니다. 아마추어의 멀웨어와는 차원이 다릅니다. 소프트웨어 엔지니어링에 대하여 대단히 높은 지식과 경험을 가진 사람이 전문성을 다 기울여 만든 작품입니다. 고객들이 믿고 모듈을 구매할 만합니다.”

셩크는 “국가 기관이 합법적으로 누군가를 염탐하도록 도와주는 시장이 은밀하게 형성되어 있다는 것이 다시 한 번 드러났다”고 말한다. “NSO그룹이나 사이트록스(Cytrox) 등 스파이웨어 개발사로 알려진 회사들은 항상 ‘우리는 합법적으로 사용될 수 있는 도구를 만들어 팔기만 할 뿐이지, 그 도구를 고객들이 어떻게 사용하는지까지 관여할 수 없다’고 말하는데, 정부 기관이나 사법 기관이 주요 고객이라고 해서 스파이웨어의 활용이 합법적이라고 말할 수 있을까요? 게다가 정부만 이런 회사들의 고객사인 것도 아닙니다.”

한편 이번에 룩아웃이 발견한 허밋 샘플은 카자흐어로 만들어진 웹사이트에 호스팅되어 있었다. 그리고 이 샘플과 연결된 C&C 서버는 카자흐스탄 내 IP 주소에 호스팅되어 있었다. 카자흐스탄 국민들 중 일부가 공격 대상이라는  뜻이다. “또한 백엔드 C&C 서버의 위치가 카자흐스탄이라는 것은 공격자 역시 카자흐스탄 내 어떤 조직일 가능성이 높다는 뜻이 됩니다.” 룩아웃 측은 정부를 의심하고 있지만 확실한 증거가 있는 건 아니다. 누가 어떤 목적으로 어떤 사람들을 염탐한 것인지는 아직 조금 더 조사를 해 봐야 밝혀질 것으로 보인다.

허밋의 iOS 버전도 있다고 룩아웃은 말한다. 하지만 샘플을 확보하는 데에는 실패했다.