"NSA 스파이웨어 존재를 쉽게 확인"··· 기트허브에 등장한 스크립트 '눈길'

IDG News Service
조직의 컴퓨터가 NSA의 감시 도구에 감염됐는지 의심스러운 이들이 환영할 만한 도구가 등장했다. 이를 쉽게 감지할 수 있다는 무료 도구가 등장해 눈길을 끌고 있다.

보안 업체 커머셜(Countercept)의 루크 제닝스는 지난주 NSA가 유포한 것으로 추정되는 사이버 무기에 대응해 작성한 스크립트를 공개했다. ‘Dublepulsar’라고 불리는 NSA의 이 감시 도구 삽입물은 윈도우 기반 취약성에 의해 배포되며 다른 맬웨어를 실행시키는 재주를 갖췄다.

제닝스의 이번 스크립트는 현재 기트허브에서 다운로드할 수 있다. 단 사용을 위해서는 약간의 프로그래밍 기술이 필요하다.

한편 몇몇 보안 전문가들이 제닝스의 스크립트를 사용하여 임플란트에 감염된 시스템을 인터넷에서 검색했다. 그 결과, 약 3만 ~ 10만 대의 컴퓨터가 ‘Dublepulsar’에 감염된 것으로 추정되고 있다.

이 중 침투 테스트 기업 빌로우0데이(Below0Day)는 감염 컴퓨터가 분포한 국가를 의미하는 트위터 그래프를 작성하기도 했다. 이에 따르면 미국에는 약 1 만 1,000대의 감염된 컴퓨터가 존재하며, 영국, 대만, 독일을 비롯한 여러 국가에서 1,500 대 이상의 컴퓨터가 감염돼 있었다.

제닝스는 이들 컴퓨터들이 악성 코드에 감염된 시기가 분명하지 않다고 밝히면서도, ‘Doublepulsar’를 배포하는 것으로 추정되는 NSA의 도구가 일주일 전에 누출됐으며 이 시점부터 해킹 역량을 가진 이들이 이용하기 시작했었을 수 있다고 분석했다. .

몇몇 보안 전문가들은 사이버 범죄자나 외국 정부가 이번 취약성을 악용해 인터넷으로 구형 컴퓨터 일부를 공격 할 수 있다고 우려하고 있다. 특히 패치되지 않은 윈도우 시스템으로 구동되는 컴퓨터가 특히 위험에 처해 있다는 진단이다. 시스템을 재부팅하면 NSA의 삽입물은 제거되지만 임플란트와 관련된 모든 맬웨어가 제거되지 않는다.

제닝스는 ‘Dublepulsar’가 인터넷을 통해 제어 서버에 전달된 방법을 분석하여 이번 스크립트를 개발했다고 전하면서, 본래의 의도는 기업들이 인터넷 전체를 검사하지 않고 네트워크를 통해 임플란트를 식별하도록 돕는 것이었다고 전했다.

그는 "공개 이후 트위터에서 많은 논의가 있었다. 감염된 시스템의 수가 놀라운 수준이었기 때문에 스크립트가 틀린 것일 수도 있다는 지적이 제기됐었다"라고 말했다. 그러나 그의 컴퓨터 스크립트가 틀렸다는 증거를 제시 한 사람은 없었다고 그는 덧붙였다.

보안 업체 포보스 그룹(Phobos Group) 댄 텐틀러 CEO는 스크립트의 정확성에 대해 직접 조사한 결과를 공유했다. 그는 이미 감염된 것으로 표시된 50 대의 컴퓨터에서 수작업으로 검사를 실시한 결과 50 대 모두가 실제로 감염돼 있었다고 밝혔다.

그는 “만약 스크립트에 오류가 있다면 오류가 발견되기 마련이다. 그러나 나는 오진(false positive)을 발견하지 못했다"라고 말했다. ciokr@idg.co.kr