2013년 러시아에서 개발된 것으로 추정되는 맬웨어의 소스코드가 온라인에 등장했다. 이를 누가 활용했는지 맞춰보자. 위키리스크가 배포한 최신 문서에 따르면 미 정보기관 CIA가 이 코드의 일부를 차용한 것으로 알려졌다.
위키리크스는 지난 7일 CIA가 윈도우 시스템 용 악성코드를 차용한 방법을 설명한
27개의 문서를 배포했다. 이에 따르면 CIA는 그래스쇼퍼(Grasshopper)라고 알려진 자체 해킹 도구를 개발할 때 카버프(Carberp) 악성 코드에서 몇 가지 요소를 활용했다.
카버프는 침투한 컴퓨터에서 온라인 뱅킹 자격 증명 및 기타 금융 정보를 도용할 수있는 트로이 목마 프로그램으로 높은 악명을 떨쳤던 맬웨어다. 특히 러시아 및 다른 구 소련 국가에서 횡행했던 바 있다.
지난 2013년 이 맬웨어의 소스코드가 누출되면서 보안 커뮤니티에서는 사이버 범죄자들이 이 악성 코드를 사용할 수 있다는 우려가 제기됐었다.
7일 배포된 문서군에는 CIA의 사용자 매뉴얼로 보이는 문서가 포함돼 있었는데, 윈도우 PC에 생존해 작동을 지속할 수 있는 방법에 대한 내용도 기술돼 있었다. 2014년 1월 작성된 것으로 추정되는 사용자 매뉴얼에는 "이 지속적 기법과 설치 프로그램 일부는 우리의 필요에 맞춰 개조됐다"라는
문구가 담겨 있었다.
CIA가 카버프를 선택한 이유는 명확하지 않다. 단 차용된 요소 중 하나는 CIA 그래스쇼퍼 해킹 툴용 한 '지속성 모듈'에서 사용됐다. 이 툴은 다른 페이로드(paylods)로 구성된 커스텀 맬웨어를 구축할 수 있도록 개발됐다고 위키리크스의 다른 문서는 설명하고 있다.
이 밖에 그래스쇼퍼와 함께 동작하는 여러 다른 모듈에 대한 설명도 위키리크스의 문서에는 거론돼 있다. 이에 따르면 이들 모듈은 맬웨어가 윈도우 작업 스케줄러 또는 윈도우 레지스트리 런 키와 결합됨으로써 PC에 지속적으로 생존하는 역량을 갖추고 있다.
한편 지난 7일 발표된 문서에 소스코드가 포함돼 있지는 않다. 위키리크스는 그러나 이번 문서가 CIA의 해킹 툴을 감지하는데 도움이 될 것이라며, 이번 기밀 문서를 폭로한 이유 중 하나라고 전했다.
CIA는 이번 위키리스크의 문서에 대해 별도의 언급을 거부해오고 있다. ciokr@idg.co.kr