‘슈퍼피시’ 뿐이랴…악성 해킹 SW 잇따라 적발

가 +
가 -

중국 컴퓨터 제조회사 레노버가 소비자용 노트북 PC에 선탑재했다는 사실을 들켜 논란이 된 악성 SW ‘슈퍼피시’처럼 사용자 인터넷 사용내역을 훔쳐보는 프로그램이 더 발견됐다.

<아스테크니카>는 레노버가 고객 노트북에 몰래 깐 애드웨어 슈퍼피시처럼 SSL로 암호화된 인터넷 트래픽을 가로채는 프로그램이 10개 더 확인됐다고 2월23일(현지시각) 보도했다. 이 가운데 한 프로그램(Trojan.Nurjax)은 지난해 12월 시만텍이 트로이 목마로 분류하기도 했다. 트로이 목마는 사용자 컴퓨터에 몰래 숨어드는 악성코드다.

이 프로그램은 슈퍼피시를 만든 이스라엘 SW 개발사 코모디아가 만들었다. 슈퍼피시와 마찬가지로 사용자 컴퓨터에 임의로 루트 인증서(root CA)를 심어두고 이걸 이용해 사용자가 SSL로 암호화된 웹사이트에 접속할 때 중간에 끼어들었다. SSL로 암호화된 웹사이트는 주소가 ‘http://’ 대신 ‘https://’로 시작한다.

페이스북 보안팀 소속 위험요소 연구원 매트 리차드가 밝힌 바에 따르면 슈퍼피시처럼 SSL 암호화 트래픽을 훔쳐보는 코모디아 프로그램은 다음과 같다.

  • Trojan.Nurjax
  • CartCrunch Israel LTD
  • WiredTools LTD
  • Say Media Group LTD
  • Over the Rainbow Tech
  • System Alerts
  • ArcadeGiant
  • Objectify Media Inc
  • Catalytix Web Services
  • OptimizerMonitor

루트 인증서를 만들어 SSL로 암호화된 트래픽을 들여다보는 게 꼭 나쁜 일은 아니다. 바이러스 백신 같은 보안 프로그램도 루트 인증서를 만들고 암호화된 트래픽을 들여다본다. 문제는 코모디아가 똑같은 루트 인증서를 여러번 썼다는 점이다.

보안회사 에라타시큐리티 최고경영자(CEO) 로버트 그레이엄은 슈퍼피시 루트 인증서를 암호화한 비밀키가 다름 아닌 “코모디아”였다고 폭로했다. 네이버 로그인 비밀번호로 ‘네이버’를 쓴 것 같이 어이없는 일이다. 그는 이 비밀번호를 3시간만에 알아냈다고 밝혔다. 로버트 그레이엄 CEO는 슈퍼피시 루트 인증서를 이용해 뱅크오브아메리카나 구글 같이 SSL 암호 기술을 쓰는 웹사이트에서 손쉽게 비밀번호를 빼돌릴 수 있음을 확인했다.

코모디아가 똑같은 루트 인증서를 모든 컴퓨터에 쓴 탓에 악성 해커는 이미 알려진 암호를 이용해 코모디아 애드웨어의 루트 인증서를 악용할 수 있다. 사용자가 인터넷 뱅킹이나  e메일 서비스에 접속할 때 서버와 주고받는 암호화 트래픽을 해커가 빤히 들여다볼 수 있다는 뜻이다.

슈퍼피시의 정체가 드러난 뒤 미국 컴퓨터침해사고대응반(CERT)은 레노버 PC에 보안문제가 있다는 경고를 발령했다. 레노버는 공식적으로 사과 성명을 발표하고 자동 삭제 도구를 내놓았다. 반면 아디 핀하스 코모디아 CEO는 슈퍼피시에 아무 보안문제도 없다는 성명을 21일 발표해 여론의 뭇매를 맞았다. 코모디아 웹사이트는 24일 현재 접속이 안 된다. 웹사이트에는 “최근에 집중된 언론의 관심 때문에 분산서비스거부(DDoS) 공격을 받고 있어 사이트를 닫았다”라고 적혀 있다.

SSL 암호화 트래픽을 가로채는 애드웨어를 만든 이스라엘 SW 개발사 코모디아(Komodia) 웹사이트 갈무리

▲SSL 암호화 트래픽을 가로채는 애드웨어를 만든 이스라엘 SW 개발사 코모디아(Komodia) 웹사이트 갈무리

로버트 그레이엄 CEO는 코모디아가 만든 악성 SW의 해시값을 공개하고 슈퍼피시처럼 사용자 컴퓨터에 몰래 깔려 해킹 위협을 조장하는 코모디아 프로그램을 찾아 없애자고 주문했다.

“우리는 로컬 SSL 중간자 공격 소프트웨어에 대한 경각심을 불러일으켜 보안업계가 사용자들을 보호할 수 있도록 하려고 이 분석결과를 공개합니다. 보안 문제를 공식적으로 밝히고 함께 해결함으로써 보안업계 생태계가 이번과 비슷한 상황이 생겼을 때 문제를 더 잘 파악하고 대응할 수 있다고 생각합니다.”