상단여백
HOME 뉴스·정책
라우터 해킹해서 보안 강화…착한 악성코드?




보통 네트워크에 침입한 악성코드는 침투 이후 추가 공격을 수행하기 위해 라우터를 이용하는 경우가 많다. 그런데 시만텍이 발견한 리눅스와이패치(Linux.Wifatch)라고 불리는 악성코드는 리눅스를 탑재한 라우터 1만대를 감염시킨 다음 악용하기는커녕 보안을 강화시켜준다고 한다.

이 악성코드가 발견된 건 지난 2014년. 보안 전문가가 자신의 집에 있던 라우터에 이상을 느껴 조사한 결과 소프트웨어에서 리눅스와이패치에 감염된 장치로 이뤄진 P2P 네트워크에 연결한다는 이상한 코드를 발견한 것.

이어 올해 4월 시만텍은 리눅스와이패치가 기기에 미치는 영향을 조사했다. 처음에는 이 악성코드가 별다른 특색 없는 코드처럼 보였지만 조사를 하다 보니 리눅스와이패치가 다른 악성코드보다 훨씬 정교하게 만들어진 사실을 알게 됐다.

코드를 분석한 결과 리눅스와이패치는 펄 언어로 작성되어 있으며 일단 감염되면 기기가 P2P 네트워크에 연결해 인터넷 위협 요소에 대항하기 위한 업데이트를 계속 받는다. 시만텍 측은 리눅스와이패치에 대해 조사를 진행할수록 코드가 뭔가 다르다는 걸 알게 됐다. 코드를 보면 제작자가 악성코드에 감염된 기기를 악용하기보다는 오히려 보안을 더 강화하고 있는 것 같았기 때문이다.





이후 몇 달 동안 리눅스와이패치의 P2P 움직임을 모니터링한 결과 시만텍은 역시 악의적인 움직임을 보이지 않았다고 밝혔다. 전문 지식을 가진 사람을 빼면 보통 라우터나 사물인터넷 기기 사용자는 자신이 쓰는 기기가 악성코드에 감염되어 있는지 여부조차 눈치채지 못하기 일쑤다.

리눅스와이패치는 이런 사용자의 기기에서 외부 접근을 차단해줄 뿐 아니라 사용자에게 암호를 바꾸라든지 펌웨어를 업데이트하라는 식의 메시지를 표시해준다. 또 장치에 영향을 미치는 악성코드를 해제하기 위한 모듈도 포함하고 있다.

자유소프트웨어재단 설립자인 리처드 스톨먼은 자신이 보내는 이메일 말미에 “내 이메일을 읽을 NSA와 FBI 직원으로부터 미국 헌법을 보호하기 위해 스노든의 사례에서 배우자”는 말을 넣는다. 리눅스와이패치 역시 코드 안에 이와 비슷한 주석을 넣었다고 한다.





또 시만텍은 리눅스와이패치에 감염된 기기가 발견된 국가 비율을 2보면 가장 많은 곳은 중국이며 브라질과 멕시코, 인도 순이라고 밝혔다. 가장 감염이 많이 된 아키텍처는 ARM 계열로 85%에 달한다. 물론 숨겨진 다른 의도가 있을지도 모르지만 시만텍이 조사한 바에 따르면 리눅스와이패치는 마치 마블코믹스 만화에 등장하는 슈퍼히어로처럼 사물인터넷 사용자의 안전을 지키려는 것처럼 보인다는 것이다.

하지만 이런 긍정적인 면을 인정하더라도 리눅스와이패치가 사용자 허가 없이 기기에 영향을 미치는 악성코드라는 건 사실이다. P2P 네트워크가 다른 사람에게 해킹되지 않게 하는 동시에 백도어도 발견되고 있는 만큼 시만텍은 앞으로도 뭔가 움직임이 있다면 주의할 필요가 있으며 이를 위해 리눅스와이패치 동향을 주시할 것이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자  lswcap@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>

이석원 기자의 다른기사 보기
인기기사
추천기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
재미있는 테크월드 세상
여백
여백
여백
여백
여백
여백
여백
Back to Top