[박춘식 교수의 보안이야기] Flame에 관한 상세한 분석은, 헝가리에 있는 부다페스트공과경제대학의 암호학 시스템시큐리티 연구소(CrySyS：Laboratory of Cryptography and System Security)와 러시아 시큐리티기업 카스퍼스키랩 등에 의해서 진행됐다.
 
Flame이 사용했던 기술의 대부분은 새로운 것이 아니었다. 단지, 일반적인 맬웨어로는 보이지 않으며 제작자가 고도의 전문 지식이 있는 정도의 기능도 있었다. 전달된 크기는 약20M바이트로 대부분의 맬웨어보다도 컸다.
 
이것은 Flame가 이용하고 있는 공유 라이브러리에 기인한 것으로 보인다. 공유 라이브리 이용은 프로의 소프트에어 개발 방식이 Flame의 개발에 사용되었다는 가능성을 나타내고 있다. 소프트웨어 개발자는 일반적으로 새로운 맬웨어 개발의 부담을 줄이기 위해 코드를 다시 이용한다.
 
Flame은 USB디바이스 경유로 시스템에 침입해 일부는 Stuxnet이나 Duqu와 동일한 소프트웨어의 취약성을 악용하고 있었다. 취약성을 악용하는 프로그램인 익스플로잇은 취약성 등을 연구하는 블랙햇(악의적 해커)이 암시장에서 유통시키거나 맬웨어 제작 조직이 개발한다.
 
표적형 공격에 이용되었던 Flame은 물리적인 침입에 의해서 시스템에 감염되었을 가능성도 있다. 가장 특이성이 높으며 염려되는 것은 윈도우 업데이트를 탈취하는 Flame의 기능이다. 마이크로소프트는 나중에 Flame이 악용하는 취약성을 수정했지만 윈도우 업데이트나 모든 마이크로소프트 소프트웨어의 시큐리티가 추궁당하게 되었다.
 
Flame은 해시함수인 「MD5」의 충돌(MD5 Collision)을 이용해 생성한 가짜 증명서와 시큐리티에 준비가 안된 마이크로소프트 터미널 서비스(Terminal Services)의 증명서를 조합해 이용. 이것에 의해、 마이크로소프트의 인증국에 아주 흡사한 가짜 인증국의 작성을 가능하게 했다.
 
다른 인증국은 위장하지 않는다. 이것이 염려되는 것은 기업이 오랜 시간을 걸쳐서 마이크로소프트의 업데이트를 신뢰하게 되어, 안전하다고 믿고 있기 때문이다. 업데이트용의 데이터가 암호화되어 있는지 어떤지는 중요하지는 않다.
 
단지 시스템의 완전성을 보증하기 위해서는 신뢰할 수 있는 인증국에 의한 서명을 업데이트용 데이터로 시행하는 것이 필요하게 된다. 유감이지만 인증국의 위조가 앞으로의 맬웨어에 채용된 경우, 마이크로소프가 잘 방어할 수 있을 지 없을 지는 아직 알 수는 없다.
 
Flame은 이란을 중심으로하는 중동과 북아프리카의 특정의 개인과 조직만이 표적이 되었다고 전해지고 있다. 이 때문에 수 년 전부터 이용되고 있을지도 모른 채, Flame에 감염된 머신의 수는 대부분의 맬웨어보다도 적었다.
 
즉 Flame은 대부분의 조직에 있어서 거의 위험이 없다고 생각된다. 단지 이용된 것은 기지의 공격 수단이며 기업은 역시 Flame의 요소를 사용한 앞으로의 공격에 대비하지 않으면 안 된다.
 
◇Flame방식의 공격에 대한 대비=Flame은 표적을 노린 맬웨어로 대부분의 기업에서는 대책의 필요는 없을 것이다. 그러나 Flame의 교훈을 완전히 무시할 수는 없다. Flame과 동일한 기능을 넣은 장래의 표적형 맬웨어에 대한 준비는 필요하다.
 
Flame의 다양한 공격 수법으로부터 자신을 지키기 위해 기업이 도입할 수 있는 대책은 몇 개 정도 있다. 부정증명서의 대책으로는 화이트리스트를 이용하든지 특정 인증국과 신뢰할 수 있는 패치만을 이용하는 방법이 있다.
 
예를 들면, 자사 서명이 들어간 소프트웨어를 사용하고 모든 패치를 중앙의 인프라 경유로 푸시 발신하고 클라이언트 단말은 사내에서 서명된 소프트웨어만을 신뢰하는 설정으로 되어 있다면, Flame에 대한 방어가 된다.
 
프린트 스풀러 서비스라는 기능을 무효로 한다면 Flame에 의한 프린트 스풀러의 취약성 악용은 방지된다. 시스템상에서 새로운 파일이 발견되거나 실행되거나 하는 경우 또는 의심스러운 네트워크 트래픽이 탐지되는 경우에 Alert이 발생하도록 하는 시스템을 설정해 두는 것도 유효하다.
 
의심스러운 네트워크 트래픽에는 외부의 새로운 IP에 접속하거나 새로운 도메인명의 DNS LookUp이 포함된다. 이와 같은 분석에는 시간이 걸릴지도 모르지만 자동화될 수 있는 가능성은 있다. 평균적인 맬웨어 개발자에게는 가짜 증명서와 같은 복잡한 공격 수법을 실장하는 것은 가능하지 않다.
 
단지 맬웨어 개발자의 전문성이 높은 것에 따라, 프로의 소프트웨어 개발 기술을 채용하거나 자신들의 공격에 일층 고도의 요소를 포함하게 될 것이다. 프로세스를 자동화하기 위해, 첨단의 기술을 집어 넣은 맬웨어 툴킷조차도 이용하게 될 지도 모른다.
 
맬웨어로 채용할 가능성이 있는 프로의 기술에는 자동 경신 기능을 갖춘 소프트웨어 모듈화, 암호화 접속과 분산형 아키텍처의 이용 등이 있다. MD5 충돌에는 가짜 증명서를 작성하기 위한 고도의 수법이 필요하게 된다. 맬웨어 개발자는 MD5 충돌에 관한 발표가 나타내는 것과 같이 ‘HashClash’라는 툴을 사용해서 Flame의 일부 코드를 재이용할 수 있을지도 모른다.
 
또 새롭게 발견된 맬웨어에 대해서는 불필요한 소동이 많다. 그렇다고 해서, 기업이 맬웨어에 관한 조사 결과를 무시하면 안된다. 새로운 취약성을 뚫고 많은 시스템을 공격하는 맬웨어는 바로 대책이 필요한 경우도 있다.
 
단지, 구식의 공격 수단을 사용하는 맬웨어에 대해서는 현재의 시큐리티 대책을 바꿀 필요는 없는 것도 사실이다. Flame은 다양한 Exploit 기술을 다수 조합해 특정의 조직과 개인을 표적으로 한다.
 
Flame의 수법에 관한 상세함이 공개된다면, 그 일부를 사용한 맬웨어도 출현할 지도 모른다. 단지, 대부분은 이미 알려져, 다른 툴킷에도 사용되고 있는 수법뿐이다. 대부분의 기업은 Flame의 표적이 되는 일은 없다. 단지, Flame에 관한 상세한 정보를 사건대응팀(CSIRT：Computer Security Incident Response Team)의 도상훈련에 활용하는 것은 많은 기업에 있어서 도움이 될 것이다. (테크타겟. 2012.10.16)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]