이탈리아 해킹 업체 ‘해킹팀’ 해킹에 사용된 제로데이 취약점 공격이 한국 네티즌이 많이 방문하는 도메인을 통해 진행된 정황이 포착됐다.
트렌드마이크로가 13일 블로그에 포스팅한 보고서에 따르면 해킹팀 공격에 사용된 제로데이 취약점 중 한국 네티즌이 많이 방문하는 URL에서 호스팅되고 있다. 이 활동은 지난달 22일 시작됐으며, 익스플로잇 공격 시도였던 것으로 추측된다.
트렌드마이크로는 “이 공격이 해킹팀의 공격 패키지와 코드를 이용해 생성된 것으로 추정하고 있다. 공학적 관점에서 볼 때 이 코드는 매우 잘 만들어졌으며, 일부 공격자들은 유출된 코드를 통해 다양한 대상들을 대상으로 한 표적 공격을 게시하고 관리하는 방법을 배울 수 있을 것”이라고 설명했다.
이와 함께 트렌드마이크로는 어도비 플래시 플레이어의 보안 취약성이 매우 심각한 상황이라며 어도비에서 패치가 발표될 때 까지 사용을 중단하는 것이 좋다고 권고했다.
트렌드마이크로가 14일 게시한 블로그에서는 “해킹팀의 유출 데이터에서 몇 건의 어도비 플래시 플레이어 제로 데이가 발견됐으며, 윈도우, 맥, 리눅스에서 실행되는 모든 버전의 어도비 플래시를 감염시키고, 공격자가 감염 시스템을 제어할 수 있다”며 “취약점의 등급은 ‘긴급(critical)’이다. 어도비가 이번에 발견된 취약점에 대한 패치를 완료할 때 까지 플래시 플레이어 사용을 중단하는 것이 바람직하다”고 경고했다.
트렌드마이크로는 해킹팀에서 유출된 데이터에서 발견한 플래시 플레이어 제로데이 취약점 중 ‘CVE-2015-5122’는 각종 익스플로잇 킷에 통합돼 있어 여러 방식의 공격이 가능하다고 밝혔다. 또한 공격자들은 제로데이 익스플로잇을 악용하기 위해 모니터링를 하고 있으며, 새로운 정보와 사실이 밝혀질 때 마다 업데이트 할 것이기 때문에 보안 위협을 더욱 높아질 것이라고 지적했다.
국정원 민간인 사찰 위해 스파이웨어 구입 ‘의혹’ 제기
한편 해킹팀의 스파이웨어를 국가정보원으로 추정되는 5163 부대가 해킹 프로그램을 구입했다는 사실이 알려지면서 국정원이 민간인 사찰을 위해 해킹 프로그램을 구입·운영한 것이 아니냐는 의혹도 나오고 있다.
위키리크스는 지난 8일 해킹팀에서 유출된 100만건 가량의 이메일과 파일 내역 등을 공개했으며, 여기에는 국정원이 나나테크라는 업체를 통해 스파이웨어를 구매하고 유지보수를 요청한 것으로 알려졌다. 국정원은 카카오톡과 애플 아이폰, 삼성전자 갤럭시S5, 갤럭시 S6 등 최신폰의 취약점도 알아내 스파이툴을 심을 수 있는 방법을 개발해 온 것으로 알려졌다.
