오스트리아의 한 보안 업체가 MS의 추적에 꼬리를 잡혔다. 겉으로는 합법적인 IT 서비스를 제공하는 업체이지만, 사실은 제로데이 취약점을 익스플로잇 하는 스파이웨어 개발사였다. 스파이웨어 대책 마련을 위한 국제 사회의 노력이 시급히 요구되고 있다.
[보안뉴스 문가용 기자] 마이크로소프트가 사이버 무기 브로커인 놋위드(Knotweed)의 존재를 공개했다.놋위드는 지난 여러 해 동안 세계 각지의 로펌, 은행, 각종 컨설턴시에서 발견된 스파이웨어 관련 공격의 배후 세력이라고 MS는 주장했다. 보다 정확히 말하자면 놋위드는 윈도와 어도비 제품의 제로데이 취약점을 익스플로잇 하는 스파이웨어를 개발해 최소 2021년부터 여러 고객에 판매했다고 한다.
![[보안뉴스 / 7.28.] 오스트리아의 한 보안 업체, 알고 보니 제로데이 익스플로잇 전문 집단](http://www.boannews.com/media/upFiles2/2022/07/88108665_3038.jpg)
[이미지 = utoimage]
놋위드는 불법 사업체로 분류되지는 않는다. 정부의 승인을 받은 정식 사업체로 소프트웨어 개발과 레드팀 훈련에 특화되어 있는 것으로 서류상에는 나온다. 그러나 이들이 만드는 소프트웨어는 스파이웨어이고, 레드팀 훈련은 사실상 해킹을 뜻한다. 레드팀 점검 및 훈련에 특화되어 있는 소프트웨어 개발사라는 설명은 해킹 도구를 판매한다는 것의 승인용 문구일 뿐이다. 불법과 합법의 사이에서 미묘하게 자리를 잡은 애매한 회사라는 것이다. 실제 이들이 만든 스파이웨어는 각종 난민, 기자, 활동가, 시민 단체, 정치 요원들의 장비에서 발견되는 중이다.
정상 기업이라는 위장
이렇게 합법이라고 하기에도 애매하고 불법 업체는 또 아닌 민간 기업 중 대표적인 사례는 이스라엘의 보안 업체인 NSO그룹(NSO Group)이다. NSO그룹은 페가수스(Pegasus)라는 모바일 스파이웨어를 직접 개발해 판매하는 회사로 널리 알려져 있지만 사실 그 외에도 다른 많은 작품들을 보유하고 있다고 알려져 있다. 스파이웨어 제조사인 놋위드도 NSO그룹과 정체성이 비슷하다.
놋위드는 사실 가짜 이름이다. 양지에서 이들은 DSIRF라는 기업 이름으로 활동한다. DSIRF는 오스트리아의 기업으로, 보안과 정보 분석 서비스를 기업 고객들에게 제공한다고 한다. MS는 자사 블로그에 이러한 기업 설명에 대해 “표면적인 위장”이라고 표현했다. “DSIRF는 서브제로(Subzero)라는 해킹 도구 및 멀웨어를 개발하고 판매하는 조직입니다. DSIRF의 고객들은 서브제로를 통해 자신이 공격하고 싶은 인물이나 조직의 컴퓨터, 전화, 네트워크를 공략할 수 있게 됩니다.”
한편 놋위드 혹은 DSIRF가 익스플로잇 하는 MS 윈도 및 어도비 리더(Reader)의 제로데이 취약점과 연루된 해킹 사고 및 시도는 최근 오스트리아, 파나마, 영국에서 특히 많이 발견되는 중이다. 이에 MS는 소프트웨어 업데이트를 통하여 취약점을 해결했다. 또한 서브제로의 시그니처까지도 공개해 방어자들이 보다 정확하게 서브제로를 막아낼 수 있게 했다.
마이크로소프트는 이러한 스파이웨어의 은밀한 활동 내역 및 관련 내용을 미국 국회로 보내면서 “이것이 마지막 스파이웨어일 거라고, 또 스파이웨어가 활동해 봤자 결국 잡힐 거라고 생각하면 오산”이라고 강조했다. “스파이웨어에 대한 방어와 인지 제고를 위해 보다 광범위한 범위에서 방어 전술을 갖춰야 합니다. 스파이웨어 산업은 계속해서 성장하고 있고, 국가 간 사이버전 활동의 필요성은 더욱 깊어지고 있기 때문입니다.”
MS는 “스파이웨어를 은밀히 구매하여 사용하는 정부들이 늘어나고 있다”며 “특히 인권을 탄압하고 법치주의를 어기는 독재 정권에서 스파이웨어가 애용되고 있다”고 주장하고 있다. “스파이웨어 산업은 아직 명확한 표준과 통제 기준이 마련되지 않은 분야입니다. 세계의 여러 정부들이 나서서 각종 스파이웨어의 위험을 분석해 알리고, 막아야 할 것입니다.”
3줄 요약
1. 오스트리아의 한 보안 업체, 실상은 제로데이 취약점 익스플로잇 하고 해킹 도구 판매.
2. 스파이웨어 업체들은 합법과 불법의 회색지대에서 교묘하게 활동하는 중.
3. 정부들 간 인지 제고와 노력으로 스파이웨어에 대한 통제 방법 마련해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.28.] 오스트리아의 한 보안 업체, 알고 보니 제로데이 익스플로잇 전문 집단](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
