가상파일 시스템 개입 악성코드 '슬링샷' 확인… 러 PC보안업체 키로커 의심 사례 분석 6년간 100대 이상 감염

[글로벌이코노믹 김길수 기자] 러시아 컴퓨터 보안업체 '카스퍼스키(Kaspersky)'가 키로거 의심 사례를 분석하던 중 가상 파일 시스템에 개입하는 악성 코드 '슬링샷(Slingshot)'을 확인했다고 발표했다.

카스퍼스키에 따르면 슬링샷은 라우터를 감염 경로로 삼고 2018년 특정될 때까지 적어도 6년 동안 100대 이상의 PC에 감염돼 있던 것으로 추정된다. 슬링샷은 '프로젝트 사우론(Project Sauron)'과 '레진(Regin)'에 필적할 정도로 복잡하고 세련된 공격 플랫폼으로 중동과 아프리카를 중심으로 피해가 보고되고 있다.

슬링샷은 라트비아의 네트워크 제품 제조업체 '미크로틱(Mikrotik)'이 제조한 라우터의 취약성을 이용한 것으로 드러났다. 라우터는 정상적인 업무를 실시하는 과정에서 다양한 DLL 파일을 다운로드하여 실행하고, 해킹그룹은 합법적인 DLL 파일 중 한 파일 사이즈를 똑같이 만들어 악성 DLL을 재작성하는 것으로 슬링샷 라우터에 잠복하게 된다.

미크로틱의 공식 라우터 관리 소프트웨어 '윈박스로더(Winbox Loader)'를 실행하면 악성 DLL 파일이 연결되어 있는 단말기에 로드되어 실행된다. 다만 "가장 먼저 라우터에 악성 DLL을 어떻게 잠복시킬 수 있었는지"는 여전히 파악하지 못하고 있다.
카스퍼스키는 미크로틱은 이미 이 문제에 노출되었기 때문에 미크로틱에서 제조한 라우터를 사용하는 경우에는 즉시 펌웨어를 최신 버전으로 업데이트할 것을 호소하고 있다. 동시에 "유사한 공격을 받고 있는 라우터는 미크로틱의 제품에 한정돼 있지 않을 가능성도 있다"고 경고하고 있다.

슬링샷은 'Cahnadr'와 'GollumApp'이라는 두 개의 모듈로 구성되어 있다. 'Cahnadr'는 커널 모드 모듈에서 파일 시스템 전체를 충돌시키거나 블루스크린을 만들어내는 악의적인 프로그램을 실행할 수 있고, 'GollumApp'은 사용자 모드 모듈에서 스크린 샷 캡처 클립보드의 데이터나 네트워크 정보, 웹 브라우저에 저장되어 있는 패스워드 등을 절취할 수 있다.

또한 이 슬링샷은 보안소프트웨어의 움직임을 확인하면 곧바로 프로그램을 중단하거나 PC가 종료되기 전 작업을 완료하는 등 보안소프트웨어에 의한 탐지를 피하기 위해 교묘하게 설계되어 있다. 이 때문에 특정이 늦어졌고 결국 2012년 첫 샘플이 발견된 이후 2018년까지 적어도 6년 동안 방치되어 있었다.

카스퍼스키의 조사에 따르면 현재까지 보고된 슬링샷의 피해는 케냐, 예멘을 중심으로 아프가니스탄, 리비아, 콩고, 요르단, 터키, 수단, 이라크, 소말리아, 탄자니아 등 아프리카 중동부 지역에서 확인되고 있다. 피해를 당한 PC는 100대를 넘어 그중에는 정부 기관과 기업의 것도 포함되어 있다고 한다.

조사된 샘플은 '버전 6.x'로 기록되어 있었던 것으로 이 복잡한 악성코드를 긴 세월에 걸쳐 개발해왔고 기술과 비용이 매우 많이 소모됐을 것으로 예상된다. 또한 코드 내의 텍스트에 영어가 포함돼 해킹그룹은 영어를 모국어로 하고 있을 가능성도 시사되지만 이는 PC 환경이 영어에 대응하는 경우가 많다는 이유로 크게 중요시되고 있지 않다.

다만 "슬링샷을 만든 해킹그룹은 고도로 조직화된 전문 집단이며 배경에 하나 혹은 여러 개의 국가가 후원하고 있을 가능성이 높다"고 카스퍼스키는 주장하고 있다.


김길수 기자 gskim@g-enews.com