ViRobot

하우리샵 바로가기

보안뉴스

점점 커지는 카스퍼스키 스캔들, 백신 업계 전체로 확장
등록일 : 2017.10.13
카스퍼스키, 러시아 해커들의 피해자일까 조력자일까?
백신 소프트웨어, 특성 상 너무나 높은 권한 가지고 있어


[보안뉴스 문가용 기자] 러시아의 카스퍼스키 랩 때문에 미국 정계와 보안 업계가 난리가 난 상황이다. 러시아 정부가 전 세계에 널리 보급된 카스퍼스키 제품을 통해 미국을 스파잉하고 기밀 정보를 빼내갔다는 사실이 드러났기 때문이다. 이 때문에 카스퍼스키가 러시아 정부를 도운 것이라는 의혹이 제기되고 있고, 카스퍼스키는 이를 부인하고 나섰다. 이런 가운데 다른 보안 제품들에서도 비슷한 악용 가능성이 있을 수 있다는 문제도 제기됐다. 문제가 백신 소프트웨어 전체로 옮겨 간 상황.

[이미지 = iclickart]


이번 주 수요일 월스트리트저널은 믿을만한 전문가의 말을 인용해 다음과 같이 보도했다. “카스퍼스키는 자사의 백신 제품을 능동적으로 바꿈으로써 러시아 정부기관 요원들이 스파잉 행위를 원활하게 할 수 있도록 도왔다.” 월스트리트저널은 러시아 정부가 카스퍼스키 제품을 통해 NSA 직원의 컴퓨터에 침입하는 것에 성공, 각종 기밀 문건을 훔쳐냈다고 제일 처음 보도한 매체다.

뉴욕타임즈와 워싱턴포스트 역시 러시아 해커들이 카스퍼스키 제품이 전 세계적으로 설치되어 있는 걸 활용해 미국 정보와 관련된 문건을 추적하고 찾아냈다는 기사를 써냈다. 이들은 Top Secret이나 Classified라는 단어를 가지고 검색을 실시하다가 결국 NSA 직원의 집에 있는 컴퓨터에까지 도달했다고 한다. 물론 해당 컴퓨터에는 그러한 정보들이 애초에 없어야 하는 게 맞다. 또한 아직까지도 러시아 해커들이 카스퍼스키 제품이 설치된 다른 컴퓨터에서 어떤 정보를 더 찾아냈는지는 파악되지 않고 있다.

이 지점에서 가장 크게 논쟁이 되고 있는 건 카스퍼스키 랩이 가담자냐 억울한 피해자냐이다. 가담자라면 애국심 등의 이유로 적극 도왔느냐 정부의 권력과 협박에 못 이겨 어쩔 수 없었느냐, 역시 밝혀내야 할 부분이다. 일단 지금 시점에서의 중론은 러시아 정부가 강제적으로 카스퍼스키 제품에 백도어를 심었다는 것이다. 이런 식으로 기술 기업들과 ‘강압적인’ 파트너십을 맺는 경우는 흔하다. 심지어 NSA조차도 RSA에 1천만 달러를 지불해 RSA의 암호화 기술에 백도어를 심었다는 주장이 있다.

또한 재미있는 건 러시아 스파이, 카스퍼스키, NSA가 엮여서 벌어진 이 촌극을 이스라엘 스파이 요원들이 실시간으로 관람하고 있었다는 사실이다. 이 요원들 역시 2014년부터 카스퍼스키 제품의 백도어를 통해 ‘카스퍼스키 네트워크’에 잠입하는 데에 성공했다고 한다. 카스퍼스키 제품 속에서 러시아 해커들이 무엇을 하는지 정확히 파악한 이스라엘은 미국 정부에 이 사실을 알렸는데, 이는 2015년의 일이다.

그렇기에 많은 이들은 미국 정부가 ‘정부 기관에서 사용해서는 안 될 소프트웨어 목록’에 카스퍼스키 제품이 돌연 들어간 것이 우연의 일치라고 생각하지 않는다. 물론 정부로부터의 공식적인 언급은 없었다. 이 ‘카스퍼스키 스캔들’이 어디까지 퍼질지, 지금으로선 예측밖에 할 수 없으나 카스퍼스키의 주요 시장 중 하나인 미국에서의 사업이 아무 일 없었다는 듯 유지되기는 힘들 가능성이 높다.

한편 카스퍼스키가 자체적으로 자신들의 소프트웨어에 이스라엘 집단이 침투해왔다는 사실을 파악한 건 2015년 중반의 일이다. 그해 6월, 대단히 높은 수준의 해킹 집단에 의해 공격을 당했다고 발표했는데, 당시 언급된 것이 ‘스턱스넷’이었다. 스턱스넷은 ‘고급 해킹 기술’의 대명사처럼 남아있는 멀웨어로 이스라엘과 미국의 정보기관이 이란의 핵 시설을 공격하기 위해 만들어낸 것이다. 당시 카스퍼스키는 이스라엘을 직접 언급하지는 않았다.

카스퍼스키는 연일 ‘억울하다’는 입장을 표명하고 있다. 러시아 정부의 해킹 및 스파잉 행위와 자신들은 전혀 관련이 없다는 내용이다. 민간 사업이 정치공학으로 인해 피해를 보고 있다고 일관되게 주장해오고 있다. 카스퍼스키는 미국 정부와의 관계를 다시 이어가고 싶다는 의지를 여러 인터뷰를 통해 밝혔으며, 설립자인 유진 카스퍼스키(Eugene Kaspersky)는 소스코드까지도 공개할 의향이 있다고 말했다.

그러나 보안 전문 업체로서의 카스퍼스키가 가진 위상이 갑자기 흔들리는 건 아닌 듯 하다. 바로 어제자로 인터폴과 파트너십을 체결하기도 했기 때문이다. 카스퍼스키는 이 관계를 통해 자신들의 기술과 노하우를 제공하고 동시에 더 많은 국제 경찰 기관 수준의 첩보를 제공받게 되었다. 그 동안 카스퍼스키는 국제 공조 수사에 여러 번 참여한 바 있는데, 여태까지 폐쇄시킨 봇넷 C&C 서버가 9000개에 달하며, 웹사이트는 수백만 개를 넘는다.

백신 업체의 전권 위임
여기까지가 카스퍼스키 스캔들의 골자라면, 서두에 언급한 대로 이 문제가 백신 전체의 문제로까지 확장되며 또 다른 국면을 맞이하고 있다. 그 어떤 해커라도 일단 백신 엔진에 침투하는 것에만 성공하면 그 네트워크를 적극 활용할 수 있다는 게 드러났는데, 사이버 범죄자나 정치적 해커들이 이 사실을 몰랐을까?

컴퓨터 내에서 백신 엔진들은 ‘보호’를 담당하고 있다는 이유로 시스템 전체와 파일 모두에 대한 무조건적인 전권을 가지고 있다. 소프트웨어로서 매우 특이한 권한을 가지고 있는 셈이다. 보안 업체 리스크센스(RiskSense)의 CEO인 스리니바스 무카말라(Srinivas Mukkamala)는 “백신은 모든 바이너리, 모든 파일, 모든 메모리에 접근할 수 있으며, 레지스트리까지도 점검하는 게 가능하다”고 설명한다. “이것이 해커들에게는 매력적인 특성일 수밖에 없습니다.”

백신 소프트웨어는 업데이트 서버로부터 자주 새로운 데이터와 파일들을 받는다. 이때 클라이언트 시스템과 업데이트 서버 사이의 통신이나 파일 교류는 아무런 검사를 받지 않는다. 백신 회사가 엉뚱한 짓을 할 리 없다는 신뢰가 바탕이 된 것일 수도 있고, 그냥 확인하기 귀찮아서 일수도 있다. “이유야 어쨌든 누군가 마음만 먹으면 얼마든지 악용할 수 있는 구조인 것이죠. 러시아 정부가 카스퍼스키의 업데이트 서버에 침투하는 데 성공했다면, 이런 악용 사례가 충분히 있었겠죠.”

무카말라는 “백신 회사라고 해서 소프트웨어를 다른 곳보다 더 튼튼하게 만들지 않는다”며 “다 사람이 만드는 것이기 때문에 어디엔가는 오류가 반드시 있게 된다”고 설명한다. “충분한 기술과 자원만 있으면 백신 회사도 뚫릴 수밖에 없습니다. 그러니 카스퍼스키도 러시아 정부에 의해 공격받았을 가능성은 충분히 존재합니다. 하지만 반대로 생각해보면 카스퍼스키가 협박을 받았거나 자발적으로 문을 열어줬을 가능성도 존재하죠. 그 진실은 아무도 모르겠죠.”

중요한 건 백신 소프트웨어가 해커의 악용에 크게 노출되었다는 것이다. 오센틱8(Authentic8)이라는 보안 업체의 CEO인 스콧 페트리(Scott Petry)는 “백신이라는 제품이 가진 근본적인 약점이 온 세상에 드러났으니, 이걸 이제 해결하는 게 남은 자들의 과제”라고 주장한다. “백신을 구매해 설치한다는 게 자동으로 모든 권한을 넘긴다는 뜻이 되어서는 안 됩니다. 백신 업체는 정직할 수 있어요. 하지만 누구나 100% 방어에 성공할 수는 없거든요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

목록
- 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 정보에 대한 이용문의는 “보안뉴스(www.boannews.com)”로 문의하여 주십시오.