고스트 해커: 아직 풀리지 않은 사이버 보안 미스터리
출처: TechCrunch
해킹의 긴 역사 속에서, 수년 혹은 수십 년이 지나도 해결되지 않은 수많은 데이터 유출 사건이 있었습니다. 그 뒤에 숨은 해커와 해킹 그룹은 결코 밝혀지지 않은 경우가 많았습니다.
하지만 다수의 해킹 그룹은 결국 적발됩니다. 이는 **LAPSUS$**와 같이 마이크로소프트와 엔비디아 등 기업을 침해한 악명 높은 갈취 조직이 여러 명이 체포된 경우든, 러시아와 중국의 정교한 국가 해킹 그룹이 구성원이 공개되고 기소되어 가장 수배된 인물 명단에 오른 경우든 마찬가지입니다.
그럼에도 불구하고 사이버 보안 역사상 가장 흥미로운 사건들 중 일부는 아직도 전혀 해결되지 않은 채 남아 있습니다. 범인도, 답도 없으며 경우에 따라서는 명확한 동기도 드러나지 않습니다. 우리는 이들 중 몇 가지를 다시 살펴보는 연재 기사 시리즈를 시작하기로 했으며, 첫 번째 주제는 정보 유출 역사상 가장 기이한 사건 중 하나입니다.
섀도우 브로커스
첫 번째 편은 섀도우 브로커스에 초점을 맞춥니다. 이들은 온라인에 모습을 드러내고, NSA 소유로 추정되는 방대한 해킹 도구를 유출한 뒤 사라진 신비로운 그룹입니다.
2016년 여름, 미국 대통령 선거와 관련된 러시아 해킹 사태가 한창일 때, 이 그룹은 트위터에 등장했습니다. 그들은 Pastebin 게시물로 연결하고 여러 언론 매체를 @멘션했는데, 이 전략은 대부분의 매체가 트윗을 전혀 보지 못했을 가능성이 높을 정도로 비효율적이었습니다.
링크를 클릭하면 **“Equation Group Cyber Weapons Auction — Invitation”**이라는 제목의 문서를 볼 수 있었는데, 이는 NSA가 운영하는 것으로 널리 알려진 그림자 해킹 조직을 가리키는 것이었습니다.
“!!! 사이버 전쟁을 지원하는 정부 스폰서 및 그로부터 이익을 얻는 자들에게 !!!
적의 사이버 무기에 얼마를 지불하시겠습니까?”
해커들은 자신들이 Equation Group을 해킹했다고 주장했습니다. 문서에는 몇몇 해킹 도구를 다운로드할 수 있는 링크와, 입찰을 통해 해독할 수 있는 암호화 파일 다운로드 링크가 포함돼 있었습니다. “Stuxnet보다 나은 경매 파일”이라며 2007년 미국‑이스라엘 연합 사이버 공격으로 이란 핵 시설을 공격한 유명한 악성코드를 언급했습니다. 그들은 최소 백만 비트코인을 요구했습니다(출처).
이 유출은 곧 언론의 주목을 받았습니다. 보안 연구원들이 도구들을 분석한 결과, 이들은 매우 정교한 사이버 무기로, NSA에서 탈취했을 가능성이 높다는 결론에 이르렀습니다. 이는 일부 도구 이름이 NSA 내부 고발자 에드워드 스노든이 공개한 프로그램과 일치한다는 점에서도 뒷받침되었습니다.
경매는 아마도 속임수였을 가능성이 큽니다. 왜냐하면 그룹은 몇 달 뒤에 많은 도구들을 공개적으로 유출했기 때문입니다. 섀도우 브로커스에 관한 많은 점이 이해되지 않았습니다. 그들의 서투른 영어는 거의 코미디 수준이었으며, 마치 너무 애쓰거나 고의적으로 인위적인 모습을 보여주려는 듯했습니다. 명백히 주목을 원했고 실제로 언론의 큰 관심을 끌었지만, 그룹은 기자와 단 한 번만 대화했습니다. 그때는 VICE Motherboard의 조셉 콕스에게 짧은 인터뷰를 제공했습니다.
10년이 지난 지금, 섀도우 브로커스의 정체에 대해 우리는 거의 아무것도 모릅니다. 콕스와 나는 당시 전 NSA 직원들을 인터뷰했으며, 그들은 NSA 내부자 혹은 전 내부자가 관여했을 가능성을 제시했습니다. 그러나 아무도 체포되거나 기소되지 않았습니다. 이는 미국 정보 해킹 도구 중 가장 심각한 유출 중 하나였음에도 불구하고 매우 이례적인 일입니다.
가능성 있는 용의자 중 하나는 Harold T. Martin III라는 NSA 계약업체 직원으로, 기밀 정보를 탈취한 혐의로 체포되었습니다. 하지만 이 이론에는 문제가 있습니다. 마틴이 구금된 동안에도 섀도우 브로커스는 온라인 활동을 지속했으며, 그가 유출과 직접 연관돼 공식적으로 기소된 적은 없습니다. 가장 널리 받아들여지는 설은 섀도우 브로커스가 러시아 정부 스파이 그룹에 의해 선전 도구로 만들어졌다는 것입니다.
영향
그 영향은 막대했습니다. 섀도우 브로커스가 공개한 도구 중 EternalBlue가 가장 유명합니다(Wired). 이는 Windows를 대상으로 하는 제로데이 취약점군으로, 해커가 네트워크에 침투한 뒤 빠르게 접근 권한을 확대하고 자체 전파형 웜을 배포할 수 있게 했습니다.
- 제로데이 취약점은 소프트웨어 제작자가 아직 인식하지 못한 결함으로, 아직 패치가 존재하지 않습니다.
- 북한 해커들은 EternalBlue를 이용해 WannaCry 랜섬웨어 웜을 퍼뜨렸습니다(TechCrunch).
- 러시아 해커들은 이를 NotPetya에 적용했으며(TechCrunch), 초기 우크라이나 목표를 넘어 전 세계적으로 약 100억 달러에 달하는 피해를 초래했습니다.
기업 입장에서는 교훈이 명확합니다. 정보기관이 보관하던 취약점은 영원히 비밀로 남지 않으며, 유출될 경우 사기업이 그 대가를 치르게 됩니다.
이 방대한 자료는 아직도 새로운 발견을 낳고 있습니다. 유출된 도구 중 하나에는 프로젝트 명단이 포함돼 있었으며, 그 중 Fast16이라는 이름만 “NOTHING TO SEE HERE — CARRY ON”이라는 라벨이 붙어 있었습니다. 지난달 연구원들은 이를 찾아 분석했으며, 2005년으로 거슬러 올라가는 악성코드를 발견했는데, 이는 이란 핵 과학자들이 사용하던 소프트웨어를 조작하도록 설계된 것으로 보입니다.
우리 기사에 포함된 링크를 통해 구매하시면, 소정의 수수료를 받을 수 있습니다. 이는 우리의 편집 독립성에 영향을 미치지 않습니다.
Lorenzo Franceschi‑Bicchierai는 (기사 저자)
TechCrunch 수석 작가 – 해킹, 사이버 보안, 감시 및 프라이버시를 다룹니다.
Lorenzo에게 연락하거나 그의 신원을 확인하려면 다음 방법을 이용하세요:
- 이메일: lorenzo@techcrunch.com
- 암호화 메시지: +1 917 257 1382 (Signal)
- Keybase/Telegram: @lorenzofb