사이버공간작전 타이거팀 -4

사이버공간작전 타이거팀 -4

 

 

 

 

 

 

 

핵백(hackback)

 

 

 

 

사이버공간작전부대 컨퍼런스 룸을 가득메운 두 무리의 사람들.

 

"타이거팀" 요원들과  "랩토리얼팀"이었다.

 

"랩토리얼"팀은 하늘에 떠서 세상을 내려다보는 맹금류들처럼 주요 기간 네트워크의 상태 관제와 중요 사이트들의 동향을 감시하는 역할을 맡았다.

 

주인공 중 한 명인 코드네임 "이글팀"도 여기 소속이다.

 

임플란트 주입이나 이런거는 타이거팀이 하고, 적군의 정찰이 뜨면 TCP 2745 같은 잘 알려진 포트들의 트래픽 감시도 하고, 일종의 덫으로 사용하는 허니팟 서버 운영,  종종 오탐이 되기쉬운 MStream 어택의 진위 여부등을 판단하는 역할 등 궃은 일을 마다하지 않았다.

 

지난 1.26 인터넷 대란때도 민간 백신 개발업체는 MS-SQL서버가 사용하는 TCP 1433포트의 유해성 여부를 탐지하지못해 백신 개발이 거의  3시간이나 늦어졌었다.

민간 백신개발 업체에 인터넷 대란의 원인이 1433포트가 DNS 문제를 일으켰음을 익명의 제보자로 가장해서 제보할때도 코드네임 이글팀은 자신의 존재를 숨겨야했다.

 

언론에 뿌리는 홍보자료에는 개발실장의 대학선배가 해준 결정적 제보 덕분이라고 말을 바꿔서 발표했다.  사실은 만 스무살이 된 새카만 대학후배인  코드네임 "이글팀"이 백신업체로 보내준 분석 코드덕분이었다.  

 

국가적인 DNS 서버의 오류로 FTP서버나 메일 서버들이 전부 동작하지않아 바이러스 샘플과 개발 백신도 USB 메모리와 DVD-롬에 담아 목동 IDC센터까지 죽어라 뛰어가는 진풍경이 펼쳐졌지만, 익명의 제보자였던 "이글팀"의 빠른 분석 결과가 단초가 되어 민간업체가 먼저 백신 개발을 성공시킨바 있다.

 

이와 반대로, 사빈이 소속된 "타이거팀"은 때려부수는 일에만 능통한 공격 전문팀이다.

 

수비라곤 전혀 배운적도 없었고 아예 할 줄도 모르게 훈련되었다.

 

수비는 "랩토리얼팀"이 하는 거지 "타이거팀"이 하는 업무가 아니다 라고 훈련받은 사람들이었다.

 

 

 

낮은 목소리로 코드네임 재규어가 스탠드 마이크에 대고 입을 열었다.

 

"이번 원자력 연구원 해킹 공격에 대해서 기사를 봐서 잘 알고 있을거라 믿는데이. 회의 결과 명백한 주권 침입 행위로 간주해가꼬,  타이거팀은 이 시간부로 즉각 중국에 핵백(Hackback)을 감행하라는 윗선 지시가 떨어졌다~ 마? 뭔말인지 알아듣겠제? "

 

컨퍼런스룸이 술렁거렸다.

 

 

핵백(HACKBACK).

 

드디어 우리 턴이 왔군.

 

공식적으로 "타이거팀"이 두번째로 중국 대상으로 보복 공격을 하게되었다.

마치 연고전처럼 이건 국가대항전 성격을 가지는 거라고 할까?

 

 

기억나는 첫번째 국가대항전은 아마...

 

 (1)중국홍객연맹(홍커)의 직접적인 공격 원인이 되었던 2001년 4월, 미군 정찰기와 중국전투기의 충돌 사건이다. 파키스탄과 중국 영토에 불시착한 미군 정찰기 - 일단 미군 화물기로 정정되어 알려졌지만 - 는 미국으로 되돌아오지못했다.

 

미군정찰기 파일럿은 비행기를 탈출하면서 자폭 스위치를 눌러 최첨단 전자 장비들을 깡그리 새까맣게 태워버렸다. 만약 중국이 이 정찰기를 손에 넣었다면 미군 전자장비들을 하나하나 리버싱해서 뜯어보고, 오얼캐드(ORCAD) 도면 한장 없이도 전자회로들을 그대로 100% 똑같이 복사해낼 것이다!! 중국인들이 가진 불가시의한 능력이지.  

 

중국에 가는 수출용 텔레비전에는 메인 보드에 보안칩을 다 달아놔야한다니깐. 안그랬다간 열 흘안에 중국놈들이 UHD TV를 싹 다 복사해서 만든 짝퉁 복사판이 시장에 풀린다니깐. 

 

미국과 아프가니스탄의 전쟁 때도 그랬다.

총 200여기가 넘는 토마호크와 크루즈 미사일을 아프가니스탄에 퍼부은 미국은 전쟁에서 승리했다.  물론 표면적으로 말이다.  한대 100억짜리니 2조원 어치를 쏟아부었지 아마.  

 

아프가니스탄에 떨어진 불발탄중 16기가 비밀리에 중국 국경을 통해 중국 안으로 들여보내졌다.

 

아프가니스탄 현지인들은 말과 당나귀가 끄는 마차에 토마호크 미사일 불발탄 16개를 가득 싣고,  1발당 우리나라돈 20만원씩 받고 중국 브로커들에게 토마호크와 크루즈 미사일을 넘겨버렸다.

 

크루즈 미사일 5기도 파키스탄의 핵 시설 근처에 있는 공군 공항의 앞 마당에 불발탄으로 떨어졌다. 이거 불발탄이 아니고, 의도적으로 파키스탄군 공군 시설을 싹 불태우려고 쏜 거 같은데??

 

1기당 약 100억짜리 미사일 5발을 비행장 앞마당에서 주워서 500억원을 횡재한 파키스탄군은 미사일 1발을 과감하게 뜯어봤었다. 미사일을 뜯어봤다가 다시 조립하는 기술을 익히려고 했었지만,  최첨단 크루즈 미사일을 뜯어보다가 보다가 해도 해도 도저히 만든 원리를 전혀 모르겠던지, 주워온  ICBM 미사일을 파키스탄보다 더 미사일을 잘 만드는 나라인 조선인민주의공화국에 전부 넘기기로 했다.

 

어차피 파키스탄은 핵 기술을 북한에 주는 대신 자기들이 취약한 ICBM 기술을 북한에서 전부 전수해주기로 하고 퉁 쳤으니깐.

 

 

그리고 핵 기술은 가지고있지만, 역시  탑재할 미사일 기술이 없던 이란도 러시아 무기업자한테 돈을 주고 구매한 고고도 미사일 몇 발을 직접 북한으로 선물해주었다.

자아, 패트리어트로 못 맞추는 미사일 좀 만들어서 우리한테 좀 줘봐 ~ 알겠지?

 

서로 이해가 상충되는 빅딜을 했던 참이었다.

 

토마호크 미사일은 원래 실제 가격이 1기당 100억원을 호가하는 물건이다.

 

불발탄은 언제든 터질수있는 100억짜리 고물인데, 16기가 달랑 몇백만원에 팔려  중국의 기계공학도와 전자공학자들 수십명이 보는 가운데 토마호크와 크루즈 미사일들이 뱃속을 드러내놓고 볼품없게 하나하나 뜯겨져 있었고, 중국은 자국의 ICBM 미사일 기술자체를 더욱 진보시켜서 1000기를 실전 배치하기에 이르렀다.

 
화물기 추락사건이후 중국과 미국의 악감정이 극도로 팽배해진 가운데, 중국홍객연맹의 홍커들은 털끝만큼의 망설임도 없이 미국과 우방인 한국까지 싸잡아 사이버 공격을 감행했다.

 

이미 다년간 해킹툴 개발과 툴 사용법 교육까지 마친 중국 홍커들은 작전명 "쌍룡출해"를 시작했고, 홍커들의 파상 공격이 이어졌다. 대상은 주로 미국과 우방국의 솔라리스 2.6 및  마이크로소프트의 윈도 2000서버 제품이었다.

 

미국의 백악관을 비롯한 500여개의 웹사이트를 "FUCKING USA" 라는 붉은색 문구로 도배했던 그들이다.

 

 

 

 

 

 

 

 

 

물론 미국도 그대로 보고만 있지는 않았다.

 

몇몇 해커그룹이 작전명 "쌍룡출해"에 맞서 쌓아뒀던 대(對) 중국용 제로데이 몇개를 동원해 중국 사이트 300여개에 대해 융단 폭격을 가했다.

 

미국의 우방으로 분류되어있는 대한민국에서도 마이크로소프트사 계열을 노릴것으로 충분히 예상은 했었지만, 막상 홍커들의 공격을 당해보니 피해가 너무나 컸다.

 

중국 홍커들은 솔라리스 유닉스 운영체제부터 장악한 뒤, 감염된 솔라리스가 마이크로소프트 윈도 2000서버를 공격하도록 연계하는 공격방식을  택했기 때문이다.

 

 

"랩토리얼팀"은 비상사태에 대해 대응 훈련은 잘되어 있지만, 일이 안되려면 꼭 뭔가 하나가 배배 꼬이기 마련이다. 윈도업데이트나 서비스 팩이 잘 되어있지않은 국내 서버들도 상당수 있었다. 홍커들의 수법은 미리 공격툴을 개발해서 무기고에 저장해뒀다가 자, 이때다 투하하라! 하고 명령을 받자마자 무기고에서 갓 꺼낸듯한 정교한 공격툴을 풀었다.

일단 솔라리스 유닉스 운영체제의 SAdmin 취약점을 노리는 스크립트를 가지고 유닉스 서버를 감염시킨다. 일단 감염된 솔라리스 운영체제는 베이스캠프 기지 역할을 하게된다.

감염된 솔라리스 서버 스스로 중국 홍커들의 사이트로부터 제 2의 공격툴을 다운로드받아 설치한 후, 다음 목표인 윈도 2000 운영체제를 대상으로 다시 새로운 공격방식으로 전환했다.

마치 삼국지의 성동격서 작전처럼.

 

동쪽에 소리가 나지만 서쪽을 공격한다. 솔라리스를 공격하는 척하며 그쪽에 관심이 집중되면 다시 윈도 서버 진영에 공격을 퍼붓는 작전이다.

 

당시 취약점을 자동 공격하는 자동 해킹툴 때문에 지방 언론사 대여섯개의 서버도 희생물이 되어버렸다. 홍커들이 뚫어놓은게 제주MBC를 비롯해 하필이면 언론사 사이트였다.

당한 언론사들은 뉴스에서 조중동이 엄청나게 씹어댈게 뻔했다.

 

상부에선 일이 일파만파로 크게 번지는 것을 우려해 "랩토리얼팀"을 통해 각자 모니터링 중이던 언론사 사이트들을 전부 응급 복구를 시켰다.

 

복구라고해도 해커들이 바꾸어놓은 "default.asp" 만 찾아서 슥슥 지우면 되는것이었다. 웹사이트 주소도 다른 도메인으로 우회시켜놓고, 서버 복구를 시작했다.

 

복구 시간은 길게 잡아도 10분정도밖에 안 걸렸을것이다.

 

랩토리얼팀이 파괴된 사이트를 친절하게 응급 복구까지 해준데다 꿈속에 깊이 잠들어있던 전산 담당자들까지 일일이 깨워 해킹사실을 전화로 알려주는 해피콜 서비스까지 했었다.

 

 

물론 해당 언론사의 서울본사라고 거짓말은 좀 했지만 말이다.

 

 

그때 이글팀이 챙겨보지않았던 감염된 언론사 사이트 하나는 결국 사이트의 홈페이지가 캡처되서 해킹 관련 서적과 보안 세미나 책자에 해마다 "해킹 사례"란 이름으로 오르내리게 되고말았다.

 

중국 홍커들은 중국인민해방군으로부터 진두 지휘를 받고 있었다.

 

미군 화물기 추락은 그냥 사이버무기 투하를 하기위한 구실일 뿐이었다.

 

 

그들의 진짜 목적은 미국 국가정보국 NSA의 SIGINT 부서가 아시아 지역 특히 미국 우방국인 한국과 일본에 켜켜이 깔아둔 정보수집 센서들이었다.

 

대학교나 기업 전산실의 네임 서버나 웹 서버에 주로 사용되던 솔라리스 2.6이나 2.8 버전에도  미국 NSA의 SIGINT부서가 몰래 깔아둔 센서 소프트웨어만 이미 수백개에 달했다.  

 

윈도 2000서버도 마찬가지로 신문에는 "국내 서버는 해커놀이터" 라는 기사가 올라올 정도 취약해 정부의 묵인이 있었을 거란 애매모호한 추측만 남긴다.

 

중국인민해방군 눈에는 대한민국 서버에 해킹 공격을 할때마다 지뢰마냥 깔아둔 NSA 측 센서가 눈에 가시같았을거다. NSA 센서를 한꺼번에 부수기위해 공작을 해야할 필요가 있었고, 1차 공격은 솔라리스 운영체제를 감염시키는 웜 바이러스를 만들어 운영했다.  대학교나 기업 담당자들은 백신 치료만 가지곤 기분이 찜찜했던지 중국제 웜 바이러스에 감염된 솔리리스와 윈도 서버들을 일일이 다 포맷 작업을 하면서 NSA가 오랜 시간 구축해 둔 한국 내 NSA 센서 네트워크는 궤멸되었다.  

 

피해를 입은 NSA는 다시 NSA센서 네트워크를 회복시기기 위해 NSA 이퀘이션 그룹을 시켜 아시아 지역 및 중국 대학교까지 과감하게 무차별 센서 네트워크를 박아넣는 해킹을 시도한다.

 

 

그건 마치 1인당 할당량을 채우려는 행동처럼 이상하게 보였고, 대학교 네임서버가 아닌 일반 중소기업의 포크레인 판매 업체 홈페이지 서버까지 뚫고 들어가 NSA 센서 네트워크 에이전트들을 설치한 것이다. 

 

지금은 이게 IoT 센서라는 이름으로 살짝 둔갑해서 각 공공기관과 기업마다 공략해서 침투해 들어가고있다.

 

 

(NSA이퀘이션 서버자료등 첨언) 

 

 

센서 네트워크들의 IP리스트는 2016년 섀도브로커스에 의해  이퀘이션 그룹의 공격리스트의  유출로 다시 세간에 알려졌다. 당시 받아본 리스트에 이상한 위화감이 든 annihilator라는 민간 연구원은 한국지역 서버에 대한  IP 어드레스와 운영체제들에 대해 일일이 비교 매칭을 해본 결과 해당 자료는 2016년이 아니라 2004년경 공격당했건 서버들임을 밝혀낸다.

 

 

 

 

오퍼레이션 2-2-Z-E

 

"이번 타이거팀의 공격 작전명은 2-2-Z-E (이이제이)로 명한다."

오랑캐로 오랑캐를 제압한다는 고사성어인  이이제이.

이번 타이거팀의 이이제이 작전 개요는 이렇다.

 

중국과 밀접한 관계이긴하지만 불편한 관계를 가진 대만을 첫 번째 공격 대상으로 정해 SMB 포트를 쓰는 네트워크 프린터를 감염시키는 웜을 만들어 사용하기로 했다.

요즘 나오는 HP 프린터는 LAN카드도 달린데다 내부 메모리도 8기가바이트 이상이다.

 

메모리 안에 충분히 웜바이러스도 업로드시켜 숨길수 있다.

게다가 HP 5100 모델이상은 프린터 안에 아파치 웹서버 SW가 들어있다.

 

이 아파치 웹서버 덕분에 프린터 설정을 웹 브라우저에서 직접 할수도 있는 방식이다.

 

인터넷을 통한 원격 프린트를 지원하기위해서 내장시킨 웹서버지만, 오히려 내장 웹서버를 감염시켜서 대만지역 HP 프린터들이 인쇄를 하려고 할 때마다 사용자 PC로 감염된 프린터 드라이버를 자동 다운로드시켜고 PC란 PC들은 모조리 감염시켜 버린다는 작전이었다.

 

감염된 대만 PC들은 다시 2차로 중국사이트만 공격하도록 표적무기화로 프로그래밍되어졌다.

 

코드네임  "이글팀"은 그동안 연구 개발한 툴 가운데 "성화루"라는 재미난 툴을 써보기로 했다.

마이크로소프트의 135, 139, 445 NETBIOS 포트를 이용해서 온갖 광고물을 각 개인들의 집에 있는 프린터에 직접 중국집 메뉴을 그대로  인쇄할 수 있도록 프린트를 날리는 툴이다.

 

타워팰리스같은데 풀어놓으면 금세 전체 층에서 프린팅이 멈추지않아 난리가 나게 되어있다.

 

성화루는 해당 프린터에 A4용지가 동날때까지 "성화루" 짜장면 집 광고만 수천장~수만장씩 찍히도록 만든 퍼니툴이다.

 

 

"도미노피자", "배달의민족" 에게 스폰서를 받아서 메뉴판을 찍어줬어야 하는데.... 쩝~

 

 

광고비를 주면 메뉴판을 프린터로 찍어주는게 아니고, 돈을 줘야만 전체 프린트를 하는 광고주 업체리스트에서 배달의 민족이나 도미노 피자등 돈 낸 업체만 바로 제외시켜주겠다고 할거다.

 

안그러면 프린터 사용자들의 빅엿과 고소를 내가 다 한번에 받아먹게 생겼지

 

어이구-

 

 

 

 

- 다음에 계속 -

 

 

 

용어설명
------------------------------------------------------------
(1) 홍커 : 한자로는 홍객(紅客) 이라 표기하고 뜻은 붉은 나그네. 일반적인 해커의 의미

 

악의적인 크래커는 흑객(黑客) (헤이커, 검은 나그네)이라 칭한다.

 

흑객은 헤이커로 발음이 해커라는 말과 의미가 비슷해 중국 해커들은 스스로 홍커로 칭해 구별한다.

 

중국 홍커 그룹의 2004년 당시 최고수는 텐왕(천왕)으로 나이는 약관 19세에 불과하다.

 

2016년에도 역시 4대째 텐왕(천왕)의 이름을 물려받은 19세의 홍커가 있다.