backdoor에 해당하는글 2


최근 영어권과 러시아권에서 발견된 Ded Cryptor라는 랜섬웨어 트로이목마는 2비트코인(1300달러)이라는 거액을 요구하며 아직 복호화 솔루션도 존재하지 않는 상태다. Ded Cryptor에 감염된 컴퓨터의 배경화면은 아래와 같이 산타클로스와 함께 금전요구가 나오는 그림으로 바뀐다.




Ded Cryptor 랜섬웨어의 배경에는 사실 상당히 복잡한 이야기가 얽혀 있다. 터키 보안전문가 Utku Sen은 랜섬웨어를 제작하고 해당 코드를 개발자 협업채널인 GitHub에 공개했다. 이는 사이버공격자가 해당 코드를 토대로 악성코드를 직접 제작하도록 유도하고 미리 심어둔 백도어를 통해 이들의 행동양상을 이해하려는 전략이었다. Sen은 이보다 앞서 교육 및 연구 목적으로 Hidden Tear라는 이름의 랜섬웨어 프로젝트도 진행하고 있었다. 그는 이후 오프라인에서도 작동 가능한 신종 랜섬웨어를 개발했으며 이를 토대로 EDA2라는 강력한 랜섬웨어가 만들어졌다. EDA2는 Hidden Tear에 비해 개선된 비대칭 암호화방식을 채택했으며 C&C 서버와 통신하면서 서버에 전송하는 키를 암호화시킨다. 피해자에게는 아래와 같이 엽기적인 사진을 보여주기도 한다.



EDA2 소스코드 또한 GitHub에 공개됐으며 이는 많은 주목과 비판을 불러들였다. 실제로 이 소스코드는 랜섬웨어 공격에 악용될 수 있었으며 Sen 또한 이를 이해하고 있었다. 그는 자신이 공개한 랜섬웨어에 미리 백도어를 삽입해 뒀으며이를 통해 복호화 키를 수집할 수 있었다. 랜섬웨어가 작동할 경우 해당 C&C 서버의 URL을 알아내고 복호화키를 추출하여 이를 피해자에게 배포하는 과정을 염두에 두고 있었던 것이다. 그런데 이를 위해서는 피해자 측에서 먼저 Sen의 존재를 알아야 하는데 사실 실제 피해자의 대부분은 그의  존재를 전혀 모르는 상태였으며 따라서 복호화키 배포에 시간이 걸린다는 점이 이 방식의 약점이었다.


Hidden Tear 및 EDA2를 응용한 랜섬웨어는 오래지 않아 등장했으며 Hidden Tear의 경우 위에서 소개한 방식대로 복호화키가 피해자들에게 배포될 수 있었다. 하지만 EDA2를 응용한 Magic 랜섬웨어의 경우 공격자 측에서 무료 호스트를 통해 C&C 서버를 운용했으며 호스트 측에서는 악성활동에 대한 신고에 대응하여 별도의 조치 없이 해당 사이버공격자의 계정과 파일을 삭제해 버렸기 때문에 본래 예정됐던 백도어를 통한 복호화키 추출이 불가능해졌다. Magic 랜섬웨어 제작자들은 여기에서 나아가 Sen과 접촉했으며 이들의 대화는 오랜 논란으로 이어졌다. Magic 제작자 측에서는 Sen이 EDA2 소소코드를 공개도메인에서 삭제하고 3비트코인을 지불한다면 자기네 복호화키를 공개하겠다는 제안을 내놨다. 이 과정에서 기존 피해자에 대한 금전요구는 없던 일이 된다는 합의도 도출됐다. 결국 Sen은 EDA2와 Hidden Tear의 소소코드를 GitHub에서 삭제했지만 이미 너무 늦은 상황이었다. 2015년 2월 2일 카스퍼스키 전문가 Jornt van der Wiel은 SecureList에 게재한 글을 통해 Hidden Tear 및 EDA2 기반 암호화툴이 24개에 달한다고 밝혔으며 이 수는 이후 계속 늘어났다.


Ded Cryptor는 바로 이 EDA2 소소코드를 기반으로 제작됐으며 다만 공격자 측 보안과 익명성 강화를 위해 Tor 네트워크를 통해 C&C 서버가 운용되며 tor2web 서비스를 통해 서버와의 통신이 이루어진다. Ded Cryptor 제작과정에서 프록시서버 코드는 다른 GitHub 개발자로부터 전달됐으며 암호화키 요청 코드는 제3자 개발자가 작성하는 등 여러 출처로부터 덕지덕지 만들어진 느낌이 강하다. Ded Cryptor는 서버와 직접 통신하지 않고 감염시킨 컴퓨터에 프록시 서버를 설정하고 이를 통해 서버와 통신한다는 점이 특이하다.


Ded Cryptor 제작자는 Magic 랜섬웨어와 마찬가지로 러시아어 사용자로 추정된다. 우선 금전지급 요구가 영어 및 러시아어로만 돼 있다. 그리고 카스퍼스키 선임맬웨어분석가 Fedor Sinitsyn의 분석 결과 C:\Users\sergey\Desktop

\доделать\eda2-master\eda2\eda2\bin\Release\Output\TrojanSkan.pdb 라는 파일경로가 발견되기도 했다. Ded Cryptor 배포경로에 대해서는 별로 알려진 내용이 없으며 다만 카스퍼스키에 다르면 러시아에서 가장 많이 발견되고 중국 독일, 베트남, 인도 등에서도 발견빈도가 높다고 한다.



Ded Cryptor는 앞서 언급했듯 현재로써는 복호화 수단이 존재하지 않으며 다만 운영체제에서 사전에 생성한 숨은 사본이 있을 경우에만 복구가능성이 있기 때문에 예방이 정말 중요하다. 카스퍼스키 솔루션의 경우 Hidden Tear 및 EDA2 기반 트로이목마를 탐지할 수 있고 Trojan-Ransom.MSIL.Tear를 탐지할 경우 이를 사용자에게 알리며 또한 랜섬웨어 작동을 차단하고 암호화를 방지할 수 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Ded Cryptor: Greedy ransomware with open-source roots, 7. 8. 2016.

https://usblog.kaspersky.com/ded-cryptor-ransomware/7379/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.08.02 16:04




할리우드 영화라든지 현대 범죄물이나 스파이창작물을 보면 휴대폰과 컴퓨터 해킹은 어려운 일이 아니다. 적당한 기기를 연결하고 입력 몇 번만 거치면 침투에 성공한다. 그러면 기기에 있던 모든 비밀이 드러나고 침입자의 수중에 들어간다. 이 경우 공권력의 입장에서는 "말처럼 쉽게 되는가?"라는 반응이 나올 수 있는 한편 프라이버시와 보안을 중시하는 입장에서는 "그렇게 단순하지 않아서 다행이다"는 반응이 나올 수 있다. 애플과 FBI를 비롯한 여러 입장에서 현재 무엇이 가능하고 무엇이 불가능한지가 중요한 논제가 된다.

 

201512월 부부관계인 Syed FarookTashfeen Malik은 미국 캘리포니아 샌버나디노에서 총기를 난사하여 14명을 살해하고 22명에게 중상을 입혔다. 두 명 모두 경찰과의 총격에서 사망했지만 이 사건은 미국 내 테러행위로 규정되어 수사가 계속되고 있다.

 

미 연방수사국은 현재 Farook의 고용주가 보유하면서 Farook에게 줬던 애플 아이폰을 입수했으며 여기에 보관된 데이터에 접근하려 하고 있다. 물론 이 과정 자체가 오류의 연속이었다. 연방수사국은 우선 아이클라우드(iCloud) 백업자료에 접근하기 위해 Farook의 고용주에게 아이클라우드 계정 비밀번호를 바꾸라고 요구했으나 해당 자료는 1개월 이상 지난 내용이어서 연방수사국 측에서 원하는 정보는 없었다.

 

기기의 자체 저장공간이 암호화된 상태고 연방수사국은 이를 복호화하는 데 필요한 툴을 보유하지 못했기 때문에 기기 저장공간에 접근할 수 있도록 애플에 협조를 요청했다. 애플은 고객 프라이버시에 대한 우려를 이유로 이 요청을 거절했다. 연방수사국은 비용을 들여 가능한 경우의 수를 하나씩 입력하는 대신 해당 기기에 전자적으로 비밀번호를 입력할 수 있는 수단을 마련하여 모든 경우의 수를 빠르게 시도할 수 있도록 애플의 수사협조를 강제하기 위해 1789년 포괄명령법(All Writs Act of 1789)를 근거로 연방법원에 심판을 청구했다.

 

애플 CEO 팀 쿡은 다음과 같이 밝혔다. "미국정부는 애플에 대해 고객 보안을 위협할 수 있는 사상 초유의 조치를 요구했다. 우리는 이 요청을 거절하며 이는 법적 문제 이상의 의미를 가지고 있다. 이 문제는 공공의 논의가 요구되며 우리 고객 그리고 세계인들이 현재 이 문제에 무엇이 걸려 있는지 이해하기를 바란다." 애플은 2016226일까지 연방법원에 입장을 밝혀야 하며 외부자문을 통해 항소할 준비를 하고 있다.

 

1789년 포괄명령법은 미국 연방법원이 "관할권 내에서 법의 목적과 원칙에 부합한다고 동의할 수 있는 한 필요하거나 적절한 모든 명령을 내릴 수 있는권한을 부여하고 있으며 이 내용을 보면 성급한 적용은 금물로 보인다. 한편 법원이 정의실현을 추구하고 수사를 돕기 위해 명령을 발령할 수 있음은 일견 합리적인 듯 보이지만 "법의 목적과 원칙에 부합한다고 동의할 수 있는 한"이라는 표현 때문에 문제가 복잡해진다. 도대체 누가 동의를 한단 말인가. 만약 명령을 내리는 법원이 동의의 주체가 된다면 이는 사실상 법관이 내키는 대로 할 수 있는 백지수표 발행이나 다름없다. 만약 법원이 아니라면 어떤 주체가 그러한 명령을 관장하면서 헌법적 보호를 위배하거나 권력을 남용하지 않는다고 보장할 수 있는가.


무자비한 테러공격이 저질러진 상황에서 테러범들이 단독으로 공격을 실행했는지 혹은 배후 조력자가 있는지 밝혀내기 위해 모든 필요한 조치가 정당화될 수 있어 보이기도 한다. 애플이 조금만 양보하고 제품에 백도어를 생성하여 수사를 돕고 미국 시민들을 보호할 수는 없는가.

 

한편으로는 이는 정부가 자체적인 해킹 역량이 떨어진다는 이유로 회사에게 자사 제품의 보안을 깨도록 강제하는 월권행위가 되며 이러한 개입은 해당 제품에 대한 고객 신뢰까지 저해할 수 있다는 시각도 있다.

 

정부 측에서는 애플이 별도의 iOS 버전을 생성하여 Farook의 아이폰에 설치한 다음 데이터를 복호화하여 제공할 수 있다고 판단한다. 정부는 심지어 애플이 이 작업을 자체 시설에서 실행하고 데이터를 받는 즉시 iOS 백도어 버전을 삭제하는 방안까지 허용할 의향이 있다고 한다. 이는 합리적인 듯 보이지만 순진한 발상이기도 하다. 램프의 요정이 한번 나오면 다시 들어갈 수 없듯 이러한 선례는 돌이킬 수 없으며 또한 정부 측의 바람이 기술적으로 가능하면서 합리적인 비용과 시간을 들여 달성될 수 있다는 섣부른 가정이 깔려 있다. 별도의 iOS 버전을 생성하여 기기에 설치할 경우 정부가 원하는 데이터 그 자체가 손실되거나 덮어씌워질 수 있다. 그렇지 않다 해도 만약 암호화에 특정한 키가 사용됐다면 새로운 iOS를 설치한다고 해서 복호화가 바로 될 수도 없다. 이 경우 데이터를 암호화하는 데 쓰였던 키도 있어야 한다. 그렇다면 새로운 iOS가 어떻게 데이터를 정부 측에 넘길 수 있는가.

 

테러행각 당시 상황이 어떠했든 Farook이 공격실행 전 1개월이 넘게 아이클라우드에 접속하지 않았음은 분명하다. 이렇게 보면 그가 위치서비스 또한 정지시켰다고 봄이 타당하며 따라서 그가 이메일이나 문자로 테러계획을 전파하고 공모자들과 셀카를 찍을 정도로 멍청하지 않았던 이상 문제의 아이폰에 이통사로부터 받은 자료 외에 실제로 수사에 도움이 될 만한 정보가 있을지는 의문스럽다. 10대들도 이른바 "대포폰"이 무엇인지 아는 오늘날 테러범들이 어떤 국가에 잠입하고 1년 넘게 거주하면서 무기와 탄약을 확보하여 무자비한 공격을 실행하기까지 수사의 단서를 남길 수 있는 정보를 휴대폰에다 보관했으리라고는 상상하기 어렵다.

 

애플은 226일까지 응답기한을 통보받았으며 이는 앞으로 법원에서 수년에 걸쳐 진행될 공방 그리고 스마트폰 및 암호화 업계 전반에 걸쳐 끼칠 영향의 시작일 뿐이다. 정부가 어떤 회사의 제품 보안을 뚫기 위해 백도어를 강요할 수 있는지는 사실은 백도어 설치를 통해 암호화된 데이터를 확보할 수 있다는 점보다는 오히려 사소한 문제다. 이는 암호화된 데이터 그리고 이와 분리된 별도의 키가 존재하는 경우든 아니면 키와 데이터가 동시에 보관되며 9999가지 조합이 가능한 4자리 비밀번호에 보안이 걸려 있든 마찬가지다.

 

이 문제는 지난 20년 동안 발생했던 각종 자유, 프라이버시, 보안 등 문제와 동등한 수준의 중요성을 가진다는 면에서 주목할 필요가 있다. 누구의 생각이 옳은가. 정부가 애플에게 백도어 생성을 강제할 수 있는가. 그 아이폰에서 밝혀지지 않은 유용한 정보가 있는가. 판단은 각자의 몫이다.

 

 

 

Casper Manes, #nobackdoor or, How the US Government vs. Apple will have long-lasting ramifications, 2. 22. 2016.

http://www.gfi.com/blog/nobackdoor-or-how-the-us-government-vs-apple-will-have-long-lasting-ramifications/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016.03.16 12:28

위로가기