지난 해 여름 쉐도우 브로커(Shadow Brokers)라는 해킹 그룹이 미 국가안보국(NSA)과 관련있는 이퀘이젼 그룹(Equation Group)을 해킹한 것으로 알려진 가운데, 이 조직이 개발한 NSA의 백도어 해킹 툴에 감염된 PC가 전 세계적으로 수만대에 달한다는 주장이 나왔다.
이퀘이젼 그룹에서 개발한 백도어 해킹 툴인 더블펄서(DOUBLEPULSAR)는 익스터널블루(EXTERNALBLUE)라는 공격용 코드(exploit)를 통해 설치된다. 마이크로소프트(MS) 윈도우 운영체제를 대상으로 한 이 해킹도구는 툴킷(toolkit)을 간단하게 다운받아 실행시키는 것으로 윈도우XP 및 서버 2008(Sever 2008) R2와 같은 구형 버전의 윈도우에서 발견되는 서버 메시지 블록(SMB Server Message Block) 파일 공유 프로토콜 v.1에서 작동한다. SMB는 도스나 윈도우에서 파일이나 디렉토리 및 주변장치들을 공유하는데 사용되는 메시지 형식을 말한다.
보안 회사들이 자체 인터넷 스캐닝 방식으로 이 코드를 조사한 결과 최소 3만대에서 16만대에 이르는 PC가 감염된 것으로 나타났다.
24일 현재 스위스에 본사를 둔 보안회사 바이너리 엣지(Binary Edge)의 조사 결과에서는 NSA가 심은 백도어가 16만대 이상의 PC에서 탐지됐다. 또다른 보안 회사인 에라타 시큐어리티(Errata Security)와 빌로우제로데이(Below0day)의 조사에서는 각각 4만1천대와 3만대가 감염된 것으로 나타났다.
더블펄서는 손상된 시스템의 백도어 역할을 하며 공격자가 선택한 동적 링크 라이브러리(DLL)의 보안이 취약한 바이너리 파일에 삽입할 수 있도록 한다.
보안 컨설턴트 업체인 푸보스 그룹(Poobos Group)의 창립자인 댄 텐틀러(Dan Tentler)는 "사용자들이 해킹 툴에 연결되면 일단 호스트가 빠르게 공격을 시작한다"면서 "NSA의 제로데이 공격 목표가 대량의 감염을 목표로 한다면, 이를 해킹한 쉐도우 브로커가 밝혀낸 것에 더해 더블펄서를 끝장내야 할 것"이라고 말했다.
텐틀러는 전 세계 네트워크에 연결된 기기를 확인하는 검색 엔진 쇼단(Shodan)에서 더블펄서 탐지 스크립터를 사용해 80시간 동안 150만개의 호스트 검사를 진행한 결과 약 4만2000대에서 NSA 백도어 감염을 확인했다고 밝혔다.
그는 감염율은 현재 2.85% 수준으로 3%로 증가하고 있으며, 이러한 추이라면 500만개의 호스트 검사시 14만대가 감염된 것으로 나타날 것으로 예측했다.
마이크로소프트는 백도어 해킹 툴이 온라인에 공개된 지 수시간 뒤 이미 한달 전에 보안 업데이트(MS17-010)로 패치를 진행했다고 공지했지만, 일부 전문가들은 마이크로소프트가 이를 어떻게 알고 미리 조치했는지 의문의 제기하고 있다.
일각에서 러시아가 배후일 것으로 추정되는 해킹 그룹 쉐도우 브로커는 지난해 여름 NSA와 연결된 그룹을 해킹했다고 밝히면서 해킹 파일과 공격 도구를 온라인에 일부 화면 캡처로 제시했다. 이 해킹 그룹은 나머지를 100만 비트코인(약 6300억원)에 판매하겠다고 주장했지만 반응이 없자 온라인 개발자 코드 공유 플랫폼 깃허브(github)에 이를 공개했다.
일부 개발자와 보안 전문가들이 이 툴이 테스트하면서 실제 작동이 가능하다는 것이 알려진데다 NSA의 내부 고발자로 알려진 에드워드 스노든도 이같은 사실을 확인해주면서 큰 주목을 받았다.
일부 매체들은 NSA가 이를 이용해 두바이 등 주요 중동지역 금융기관 10여 곳을 실제 해킹했다는 주장을 내놨지만 아직까지 공식적으로 확인되지는 않았다.
그러나 매체들은 백도어 해킹 툴이 공개되자 논란이 확산될 것을 우려한 NSA가 마이크로소프트에게 비밀리에 취약점을 알려 관련 패치를 업데이트 한 것이 아니냐는 지적이 나오고 있지만 마이크로소프트는 이와 무관하다는 입장을 내놨다.
문제의 당사자로 지목된 NSA는 아직 공식적인 해명을 내놓고 있지 않아 의혹을 키우고 있다는 비판을 받고 있다.