본문 바로가기

벌새::Security

정부 기관에 스파이웨어(Spyware)를 판매한 Hacking Team 해킹 소식 (2015.7.7)

반응형

각국의 정부 기관에서 요청하는 합법(?)적인 감청 도구를 제작하여 판매하는 이탈리아(Italia)에 위치한 Hacking Team 업체가 해킹되어 400GB에 달하는 각종 정보(내부 문서, 소스 코드, 이메일 등)가 토렌트(Torrent)를 통해 공개되었습니다.

 

해당 소식은 2015년 7월 5일 Hacking Team 업체가 공식적으로 사용하는 트위터(Twitter) 계정이 해킹되어 관련 정보가 공개되면서 외부에 알려졌습니다.

 

참고로 Hacking Team 업체에서는 과거 FBI에서는 아동 포르노 수사를 목적으로 토르(Tor) 웹 브라우저가 사용하는 Firefox 웹 브라우저의 취약점을 통해 Tor 접속을 통해 불법적인 활동을 하는 익명의 사용자를 추적할 수 있도록 관련 솔루션을 제공한 것으로 알려져 있습니다.

 

이번 해킹 공격을 통해 공개된 취약점 코드 정보에서는 2014년 3월에 보안 패치가 이루어진 Internet Explorer 웹 브라우저 취약점(CVE-2014-0322), Adobe 업체에서 제공된 "C:\Windows\System32\atmfd.dll" 파일(Windows NT OpenType/Type 1 Font Driver)이 커널(Kernel) 모드에서 동작하는 과정에서 발생하는 취약점을 통해 권한 상승을 유발할 수 있는 Windows Kernel 취약점, Adobe Flash Player 제품의 제로데이(0-Day) 보안 취약점(CVE-2015-5119)을 이용하여 시스템 권한을 탈취하는 PoC 코드가 확인되었으며 이를 각국 정부 기관에 제공하여 표적의 시스템을 손쉽게 감염시킬 수 있었던 것으로 보입니다.

 

또한 공개된 정보로 인하여 2015년 7월 7일경부터 Angler Exploit Kit, Neutrino Exploit Kit, Nuclear Exploit Kit 범죄 도구를 통해 랜섬웨어(Ransomware) 유포에 악용되고 있으므로 각별한 주의를 하시기 바랍니다.

 

현재까지 공개된 정보에 따르면 Hacking Team은 그 동안 정부 및 법 집행 기관에 갈릴레오(Galileo), 다빈치(Da Vinci)와 같은 원격 제어 서비스(RCS : Remote Control Service)을 개발하여 판매해오면서 일부 권력을 이용한 정부 및 특정 조직에는 판매하지 않는다고 공식적으로 밝히고 있었습니다.

하지만 해킹되어 유출된 문서 중에서는 2013년 정부에 반대하는 170명 이상의 사람들을 죽인 수단(Sudan)과 러시아(Russia) 정부에도 비공식적으로 €480,000 (한화 기준 6억) 가격에 판매를 하였다는 것이 밝혀지고 있습니다.

또한 Hacking Team을 통한 스파이웨어 구매 국가는 한국(South Korea)을 포함한 Egypt, Ethiopia, Morocco, Nigeria, Sudan, Chile, Colombia, Ecuador, Honduras, Mexico, Panama, United States, Azerbaijan, Kazakhstan, Malaysia, Mongolia, Singapore, Thailand, Uzbekistan, Vietnam, Australia, Cyprus, Czech Republic, Germany, Hungary, Italy, Luxemburg, Poland, Russia, Spain, Switzerland, Bahrain, Oman, Saudi Arabia, UAE 등의 다수의 국가가 고객임을 알 수 있습니다.

 

대체적으로 Hacking Team에서 제작한 원격 제어 서비스(RCS : Remote Control Service)의 가격대는 이집트(Egypt)에서는 €58,000 (한화 기준 7,000만원대) 이상이며, 일부 정부 기관들에 판매한 총 수익금이 €4,324,350 (한화 기준 50억원) 이상이라고 밝혀지고 있습니다.

이에 따라 Hacking Team 업체에서는 이메일을 통해 모든 고객들에게 원격 제어 서비스(RCS : Remote Control Service) 사용을 중지하도록 전달하고 있지만, 유출된 문서에서 발견된 정보에 따르면 Hacking Team 업체에서 제공한 솔루션이 바이러스토탈(VirusTotal), 언론, 0-Day 취약점 권고 등에 노출될 경우 긴급 조치(Crisis Procedure)를 통해 업체에서 원격으로 유출 솔루션 기능을 종료할 수 있는 백도어(Backdoor) 기능이 포함되어 있습니다.

 

위와 같은 정부 기관용 스파이웨어(Spyware)가 법적인 테두리를 벗어나고 있는지 여부는 결국 구매한 사용자가 누구를 대상으로 법적 절차에 따라 사용하느냐에 따라 판단의 여지가 있겠지만, 특정 권력 및 조직의 이익을 위해 살인까지 저지르는 집단에게도 판매하는 점에서 비판의 여지는 충분히 있다고 생각합니다.

728x90
반응형