중국의 레드골프 해킹 그룹, 키플러그 백도어를 윈도/리눅스에 심어

 

 

 

[요약]: 중국의 해킹 단체인 '레드골프(RedGolf)' 가 키플러그(KEYPLUG)라는 백도어를 개발해 여러 윈도 및 리눅스 시스템에 심는 중이라고 한다. 전 세계 곳곳의 다양한 산업들을 노리는 중이다. 보안 업체 레코디드퓨처(Recorded Future)는 레드골프가 로그4셸이나 프록시로그온 등과 같은 최신 취약점들을 능숙하게 익스플로잇하며 멀웨어도 스스로 만드는 실력 좋은 그룹이라고 설명한다.

 

 

[기사 선정 이유]: 리눅스는 보안이 우수하다고 알고 있었는데, 백도어에 리눅스를 심는 것이 어떻게 가능한 것인지 궁금

했다.

 

[용어 정리]:

 

1. 백도어: 정상적인 인증 절차를 거치지 않고, 컴퓨터와 암호 시스템 등에 접근할 수 있도록 하는 방법이다. 백도어는 주로 설계 및 개발 단계에 의도적으로 심어지는 것이지만, 작동 중인 컴퓨터에 존재하는 보안 취약점을 통해 전송된 소프트웨어(트로이목마, Trojan Horse 등) 에 의해 만들어지기도 한다. 넓은 의미로는 기능상의 결함으로 인해 원래 허가되지 않은 통신 및 조작을 입력 받는 보안 구멍(hole)도 포함된다. 프로그램에 부분적으로 숨겨진 형태 혹은 독립적인 소프트웨어 형태, 하드웨어 특징 형태로 숨겨져 있을 수도 있다.

 

2. 프록시: 컴퓨터 네트워크에서 다른 서버로의 자원 요청을 중계하는 서버로, 분산 시스템의 구조를 단순화하고 캡슐화하여 서비스의 복잡도를 줄이는 역할을 한다. 일반적으로 프록시는 대부분 웹 프록시를 일컫는다.

 

클라이언트가 필요한 서버로부터 파일, 연결, 웹 페이지 등과 같은 자원을 프록시 서버에 요청하면 프록시 서버는 클라이언트와의 사이에서 대신 통신을 수행한다. 프록시 서버에는 클라이언트로부터 원격에 요청된 자원들이 캐시되어 임시로 저장되어 있다. 클라이언트는 자원 재요청 시 원격 서버에 접속할 필요 없이 프록시 서버 내의 정보를 제공받을 수 있으며, 따라서 데이터 전송 시간과 외부 *트래픽이 줄어들고 서버 측의 네트워크 병목 현상을 방지할 수 있다.

 

*3. 트래픽: 전화 또는 컴퓨터 통신의 특정 전송로에서 일정 시간 내에 흐르는 정보의 이동량

 

4. 멀웨어: 바이러스나 트로이 목마와 같이 시스템에 해를 입히거나 시스템을 방해하기 위해 특별히 설계된 소프트웨어, 또는 데이터ㆍ컴퓨터ㆍ네트워크를 위험에 노출시킬 수 있는 코드. 악성 소프트웨어(malicious software), 또는 악성 코드(malicious code)에서 나온 말로, 남에게 피해를 입히기 위해 개발된 소프트웨어를 의미한다. 최근의 멀웨어는 첨부 파일을 열어 보거나, 소프트웨어를 다운받아 설치하는 종래의 통념을 벗어나 단지 유명 검색 페이지의 링크나 이미지를 클릭하기만 해도 원하지 않는 소프트웨어가 설치되고, 시스템이 *하이재킹당할 수 있어 주의가 필요한다.

 

5. 익스플로잇: 컴퓨터나 컴퓨터 관련 전자제품의 보안 취약점을 이용한 공격 방법. 취약점 공격은 주로 공격 대상 컴퓨터의 제어 권한 획득이나 서비스 거부 공격(DoS) 등을 목적으로 한다. 취약점 공격에는 보안 취약점의 종류에 따라 BOF 취약점 공격, CSRF 취약점 공격, XSS 취약점 공격 등이 있다.

 

6. 윈티: 2009년 흔적이 드러난 해커 조직. 중국에 근거지를 둔 것으로 알려졌다. 주로 온라인 게임업체를 공격 대상으로 삼았다. 특히 게임업체 내부 컴퓨팅 시스템에 침투해 악성 코드를 심은 것으로 확인돼 주변을 놀라게 했다. 악성 코드로 확보한 게임업체의 디지털 서명을 이용해 ‘게임 머니(money)’를 조작하거나 훔쳤다. 게임 소스 코드를 빼어 가기도 했다. 훔친 소스 코드는 불법으로 온라인 게임을 운영하는 데 쓰여 충격을 줬다. 이 조직은 2011년 말부터 2013년 4월까지 35개 게임업체를 해킹했다. 이 가운데 14개가 한국 업체였다.

 

 

[느낀 점]: 리눅스 시스템에 키플러그라는 백도어를 어떻게 심는 건지에 대해 설명이 안 되어있어서 '레드골프'에 대한 구글링을 해보았는데 결과가 없어서 당황스러웠다. 중국에 근거지를 둔 해커조직 '윈티' 와 수법이 비슷한 것으로 보아 밀접한 관계성을 확인할 수 있다는 내용을 보아 아마 아직 정보가 많지 않은 해커 조직인 것 같다. 이 해커 조직은 전 세계 곳곳의 산업을 노리고 있다는 것을 보고, 보안 전문가를 양성할 때, 꼭 올바른 윤리 교육 또한 시켜야 할 것 같다. 그리고 보안 기술을 배운 뒤에 취업이 가능하도록 보장해주고, 적절한 수준의 임금을 책정함으로써 불법적인 일에 눈을 돌리지 않도록 하는 대비책이 필요하다고 느꼈다.

 

https://www.boannews.com/media/view.asp?idx=116732&kind=

중국의 레드골프 해킹 그룹, 키플러그 백도어를 윈도/리눅스에 심어