◆MS 서명된 멀웨어 발견돼…SW 생태계 '신뢰성' 악용하는 해커들
최근 마이크로소프트(MS)의 디지털 서명이 포함된 멀웨어(악성 소프트웨어)가 발견되면서 국내외 보안업계에 비상이 걸렸다. 공격자가 'MS 인증'이라는 신뢰성을 악용했다는 점에서 각별한 주의가 요구된다는 지적이다. 소프트웨어(SW) 생태계의 맹점이 이용됐다는 점에서 공급망 보안 문제가 재차 부각되고 있다.
16일 보안업계에 따르면 맨디언트(Mandiant)와 센티넬원(SentinelOne), 소포스(Sophos)등은 지난 13일(현지시간) 이 같은 내용을 골자로 한 보고서를 발표했다. 이들은 사이버 침해사고를 조사하던 중 이 같은 사실을 발견하고 지난 10월 19일 MS에 제보했다.
공격자는 '윈도우 하드웨어 개발자 프로그램(Windows Hardware Developer Program)' 인증서를 자신이 제작한 악성 드라이버 서명에 악용한 것으로 나타났다. 표먼적으로 본다면 MS가 전자 서명을 통해 특정 멀웨어를 인증한 셈이다.
맨디언트는 "초기 관찰 과정에서 '어센티코드(Authenticode)'로 서명된 '푸어트라이(Poortry)' 드라이버 샘플을 포착했다"며 "해당 샘플의 메타 데이터를 살펴보던 중 어센티코드로 서명된 악성 드라이버를 조사했고 특정 위협 행위자가 배후에 있는 것으로 추정되는 멀웨어 계열을 분석, 최소 9개 조직을 식별했다"고 전했다.
어센티코드는 윈도우에서 사용하는 SW와 애플리케이션, 드라이버의 신원 확인을 비롯해 SW 무결성 확인을 위해 MS가 만든 서명 기술이다. 사용자가 모든 것을 확인할 수 없으므로 특정 SW와 앱, 드라이버의 무결성과 안전성을 보장하기 위해 쓰인다.
MS는 보안 공지를 통해 도용된 서명이 소수의 개발자 프로그램 계정에서 한정적으로 발견됐으며, 관련 계정을 차단 조치했다고 전했다. 다만 MS 위협정보센터(MSTIC)는 서명된 멀웨어가 랜섬웨어 유포 이후 침입 활동을 지원하는 데 사용됐을 가능성을 배제할 수 없다고 분석했다.
맨디언트는 이 같은 악성 행위 배후에 'UNC3944'라는 해커그룹이 있다고 추정했다. 이들은 올해 5월부터 활동했으며, 같은해 8월 푸어트라이를 배포한 것으로 보고 있다.
맨디언트는 "6월에 서명된 푸어트라이 드라이버에 인증서가 탑재된 것을 포착했다"며 "여기에는 탈취한 인증서도 포함됐다"고 분석했다. 또 "공격자는 SMS 피싱을 통해 획득한 자격 증명을 사용, 초기 네트워크 접근 권한을 얻은 것으로 보인다"고 전했다.
국내 보안업계도 상황을 예의주시하고 있다. 지난 13일 열린 '사이버보안 정책 포럼' 정기총회에서 해당 이슈가 제기됐다. 공격자가 유출된 디지털 서명을 악용할 경우 보안 탐지를 회피할 가능성도 높기 때문이다.
현재 한국인터넷진흥원(KISA)은 '악의적으로 사용되는 MS 서명 드라이버에 대한 지침'이라는 내용으로 정기 보안 업데이트를 권고한 상황이다.
이만희 한남대 교수는 이날 정기총회에서 "코드사인만 믿으면 안 되는 세상이 왔다"며 "제로 트러스트(Zero-Trust)와 공급망 보안은 맞물릴 수밖에 없을 것"이라고 말했다.
문종현 이스트시큐리티 이사는 "국내에서도 13일 오전부터 비상이 걸린 상황"이라며 "탈취된 MS 서명이 실제 다크웹·딥웹에서 거래될 경우 문제는 더 커질 수 있다"고 말했다.
이어 "해당 이슈와 관련 있을 것으로 의심되는 멀웨어를 비롯해 300여개의 악성코드를 모니터링하고 있다"며 "공급망 공격 시 디지털 서명이 사용될 수 있다는 점도 고려해야 한다"고 덧붙였다.
◆네이버클라우드도 강조한 '소버린클라우드'…왜?
전세계적으로 데이터 주권에 대한 인식이 높아짐에 따라 국내외 클라우드서비스 사업자(CSP)들이 현지 데이터센터 기반으로 각국 정부의 규정에 따른 '소버린 클라우드'를 내세우고 있다. 특히 데이터 프라이버시가 활발히 논의되고 있는 유럽연합(EU)을 중심으로 관련 전략을 추진하고 있다.
네이버클라우드는 지난 14일 '네이버클라우드 서밋 2022'에서 글로벌 진출의 핵심 경쟁력으로 '소버린 클라우드'를 꼽았다. 외산 클라우드가 글로벌 스탠다드를 고수하고 있는 것과 달리 네이버 클라우드는 현지 국가의 규정이나 법률을 맞춤으로써 글로벌 시장서 차별화를 꾀하고 있다는 설명이다.
또 유럽에서는 소버린 클라우드를 높은 수준으로 제공하는 네이버클라우드에 대한 관심이 뜨겁다고 소개했다. 그 사례로 네이버클라우드가 EU 클라우드 얼라이언스에 비유럽 국가 중 유일한 회원사로 가입 절차를 진행 중이라고 전했다.
현재 아시아·태평양 지역 5위권의 입지를 다지고 있는 네이버클라우드는 북미, 유럽 등 서구 국가에서 존재감은 미미한 상황. 이번 '소버린클라우드' 정책을 통해 유럽 진출에 적극 나서겠다는 포부다. 박원기 네이버클라우드 대표는 "최근 유럽을 중심으로 소버린 클라우드에 대한 논의가 활발하게 진행되고 있으며, 클라우드 강자가 부재한 EU에 네이버클라우드의 기술력을 바탕으로 진출할 수 있는 기회가 될 것으로 기대된다"고 언급했다.
최근 데이터 주권이 강한 유럽지역 진출을 위해 '소버린 클라우드'를 내세운 해외 CSP들이 늘어나고 있다.
오라클은 내년 유럽연합용 소버린 클라우드 리전을 독일과 스페인 두 곳에 런칭할 계획이다. 해당 리전은 EU 거주자 및 EU 법인에 한해 운영과 지원이 허용된다. 또한 EU 내 기존 퍼블릭 OCI 리전과는 시스템적·물리적으로 분리될 예정이다. 물리적으로 분리된 공간에서 독자적 운영이 가능하고, 엄격히 제한된 접속 권한을 부여하겠다는 설명이다.
오라클 클라우드 인프라스트럭처(OCI) 소버린 클라우드 리전은 엄격한 데이터 레지던시, 보안, 레이턴시 요건을 충족해준다. 소버린 리전 고객은 다른 OCI 리전 이용 고객들과 동일한 클라우드 서비스를 이용할 수 있다. OCI는 기업이 워크로드용으로 선택한 리전에서 기업의 콘텐츠를 이동시키지 않는 것이 기본 원칙이다.
오라클은 측은 "OCI 소버린 클라우드는 기업들이 구축 위치, 접근성, 운영, 지원, 규제 사항 및 인터넷 연결성 등을 모두 관리할 수 있도록 지원한다"면서 "리전 구축 옵션을 더욱 확대해 제공함으로써 고객과 정부의 데이터 주권 관련 문제들을 해결해준다. 특히, 초기 작은 규모에서도 오라클 클라우드의 전반적인 기능을 활용할 수 있어 엄격한 보안, 컴플라이언스, 데이터 주권 규제 사항 등을 준수할 수 있다"고 강조했다.
이러한 추세에 따라 아마존웹서비스(AWS)도 지난달 'AWS리인벤트2022' 개막을 앞두고 이용자 규제 환경에 맞춘 디지털 주권 제어와 기능을 제공하겠다는 약속인 'AWS 디지털 주권 서약'을 공개했다. 이는 디지털 주권에 대한 인식이 높아지고 있는 세계 각국의 분위기를 반영한 것으로 보인다.
맷 가먼(Matt Garman) AWS 마케팅 및 글로벌 서비스 담당 수석 부사장은 "지난 18개월 동안 많은 고객들은 AWS의 모든 기능을 갖춘 클라우드 서비스와 혁신, 변화, 성장을 저해할 수 있는 제한적 기능의 클라우드 솔루션 중 하나를 선택해야만 할 수도 있다는 우려가 있다고 말했다"면서 "하지만 AWS는 고객이 이러한 선택을 해서는 안 된다는 굳건한 믿음을 가지고 있으며, AWS 클라우드를는 애초부터 디지털 주권을 강화하는 방식으로 설계했다"고 강조했다.
한 업계 관계자는 "소버린 클라우드는 완전히 새로운 개념이 아닐 뿐더러, 그자체로도 데이터 주권이나 디지털 주권을 제공하지 않는다"면서 "다만, 소버린 클라우드를 통해 조직은 클라우드 환경에서 기대하는 유연성, 민첩성, 가시성과 같은 클라우드의 이점을 누리면서도 플랫폼에서 데이터 주권을 제공받을 수 있는 기회가 될 수 있다"고 설명했다.
◆엔씨, 신작 'LLL' 2024년 PC-콘솔 동시 출시 목표
엔씨소프트의 기대 신작 'LLL'이 오는 2024년 PC와 콘솔 동시 출시를 목표로 개발 중이다.
엔씨소프트(대표 김택진)는 지난 15일 신작 LLL에 대한 이용자 질문에 개발자들의 답을 담은 신규 '엔씽(NCing)' 영상을 공개했다. 엔씽은 개발 단계부터 이용자와 소통하고 의견을 반영하는 엔씨소프트의 새로운 개발 문화다.
황성진 프로젝트 디렉터는 영상을 통해 "2024년 PC와 콘솔 글로벌 동시 론칭을 목표로 하고 있다"며 "엔씽을 통해 LLL이 어떻게 발전하고 있는지 종종 알려드리겠다"고 말했다. 배재현 LLL 시더 역시 "LLL은 아직 알파 빌드 개발 단계로 BM(수익모델)보다는 재미있는 게임으로 만드는데 집중하고 있다"고 설명했다.
지난달 베일을 벗은 LLL은 3인칭 슈팅과 MMORPG 두 장르를 결합한 트리플 A급 신작이다. 오픈월드의 자유로운 경험과 플레이어 간의 협력, 전략적 전투를 핵심 요소로 개발하고 있다. 다양한 타깃을 대상으로 세밀한 조작감이 요구되며, 특수 병기를 적재적소에 전략적으로 활용하는 것이 LLL 전투의 핵심이다.
정민주 리드 디자이너와 최유경 VFX 아티스트, 김채현 라이팅 아티스트, 이기쁨 게임플레이 서버 개발자 등 LLL 개발진도 지난달 공개한 LLL 게임 플레이 트레일러에 대한 궁금증에 직접 답했다.
정민주 리드 디자이너는 LLL을 '디비전', '타이탄폴', '크라이시스' 등 유명 슈팅 게임과 비교하거나 아쉬움을 표한 반응 대해 "자극이 됐고 개발을 어떻게 이끌어갈지 고민하는 동력이 됐다"며 "LLL은 3인칭 슈팅이지만 오픈월드와 MMO를 녹여내 차별화를 꾀했다"고 강조했다.
'택티컬기어'도 소개됐다. 택티컬기어는 단발 미사일을 발사하거나 범위 스캔, 추적을 통한 멀티 미사일 발사 기능 등이 탑재된 장비로 특정 상황 등을 해소할 수 있는 기능을 갖췄다. 어떤 특정 기능이나 특정 요소가 압도적이지 않도록 고려하고 있다는 게 정 리드 디자이너의 설명이다.
'파워로더'로 불리우는 탑승형 로봇 병기도 LLL에 등장한다. 파워로더는 이용자가 탑승해 전투를 진행할 수 있는 이족보행 로봇으로 기본 총기부터 파워로더형 택티컬기어까지 탑재 가능해 색다른 재미를 느낄 수 있다.
LLL은 근미래 서울을 배경으로 했다는 점도 눈에 띈다. 김채현 라이팅 아티스트와 최유경 VFX 아티스트는 "서울의 경우 최첨단의 모던함과 과거 전통적 요소들이 공존한다는 매력이 존재해 주요 배경으로 선택했다"며 "주요 랜드마크와 건물들은 3D 측량을 통해 최대한 사실적으로 묘사했다"고 말했다.
◆가로수길 모인 인디게임…스마일게이트 '버닝비버 2022'로 지원사격
스마일게이트가 서울 한복판에 인디게임을 대규모로 전시하는 첫 행사를 열었다. 기관 후원이 아닌 민간기업의 전폭 지원이 인디게임 시장에 활기를 불어넣을지 관심을 끈다.
16일 게임업계에 따르면 스마일게이트 퓨처랩센터(이하 퓨처랩)는 이날부터 18일까지 3일간 서울 신사동 가로수길 메인 스트리트 일대에서 인디게임 페스티벌 '버닝비버 2022'를 개최한다.
이번 행사에는 80여개 인디게임 부스가 설치됐으며, 내년 1월 15일까지 스마일게이트스토브에서 열리는 온라인 전시관에는 59개 팀이 추가로 참가한다.
스마일게이트는 이번 행사에서 게임 전시 외에도 인디게임 산업 트렌드를 조망하고 창작자들의 노하우를 공유하는 컨퍼런스, 팬 사인회, 비즈니스 미팅, 큐레이션 월을 포함한 각종 기획 전시도 진행한다.
그간 부산인디커넥트페스티벌(BIC), 인디크래프트 등 다수의 인디 게임 행사는 존재했지만, 이번 행사처럼 특정 민간기업이 주도적으로 기획한 대규모 인디 게임 페스티벌은 드물었다.
앞으로도 스마일게이트는 매년 '버닝비버 페스티벌'을 개최할 예정이다. 이날 행사에서는 권혁빈 창업자도 현장을 직접 방문해 인디 개발자들에게 격려의 말을 건넨 것으로 알려졌다.
이날 현장에서 만난 한 인디 개발자는 "그간 지스타나 BIC로 늘 부산에 내려갔는데 서울 한복판에서 게임을 선보이는 건 처음이라 설레고 뜻깊다"는 소감을 전했다.
백민정 퓨처랩 센터장은 "스마일게이트 그룹은 그간 창의, 창작, 창업 생태계 조성과 확산을 위해 노력해왔고, 이번 행사를 통해 그 저변을 더욱 확대하고자 한다"라며 "수많은 창작자들의 열정과 도전, 실험정신의 산물인 다양한 인디게임을 접할 수 있는 좋은 기회인 만큼, 많은 참여와 관심을 부탁드린다"라고 말했다.
◆규제 사정권에 소송전 가능성도… 네카오 리스크 불씨
양대 인터넷 기업인 네이버와 카카오를 둘러싼 리스크 불씨가 쉽게 수그러들지 않는 모습이다. 지난 10월 15일 발생한 카카오 서비스 장애 '대란'을 계기로 플랫폼 독과점 문제가 불거지며 이들 기업에 대한 규제 강도가 세질지로 이목이 쏠리고 있다.
각사 사정은 다르지만 긴 법적 분쟁에 들어갈 소지도 있다. 네이버는 검색 알고리즘을 조정해 경쟁사를 방해했다는 의혹으로 2020년 10월 시정명령과 과징금을 부과한 공정위 처분에 불복해 제기한 소송에서 패소했다.
카카오의 경우 직접 제재를 받은 건 아니지만 창업자인 김범수 미래이니셔티브센터장이 지분 100%를 가진 케이큐브홀딩스의 금산분리 논란이 불거지며 이를 들여다본 공정위가 법인 고발을 결정한 상황이다. 케이큐브홀딩스는 금융사(금융회사)가 아니라고 소명하며 법적 대응을 예고했다.
공정위는 연내 플랫폼 분야 독점력 남용을 규율하기 위한 '온라인 플랫폼 독과점 심사지침'을 제정한단 방침을 내놨다. 공정위는 앞서 지침 제정과 관련해 올 초 입법예고를 했었다. 그러다가 지난 10월 15일 판교 SK C&C 데이터센터 화재로 발생한 서비스 장애가 독과점 문제에서 비롯된 것이라고 보고 지침 제정에 속도를 내겠단 메시지를 냈다.
지침은 법적 강제력이 없는 가이드라인 격의 예규다. 단 공정위가 최근 '온라인플랫폼정책과'를 신설해 정규 조직으로 확대·개편하는 등 행보도 보인 만큼 당국에서 플랫폼 사업자를 향해 강도 높은 규제를 추진할지로 촉각을 세우고 있다.
플랫폼 규제와 관련해 발의된 법안들이 국회에 계류 중인 점도 업계에선 예의주시하는 상황이다. 공정위가 발의한 '온라인 플랫폼 중개거래의 공정화에 관한 법률안(온플법)'은 중개 서비스에 따른 총 매출액이 100억원 이상이거나 재화 또는 용역의 총 판매금액이 1천억원 이상인 사업자가 법 적용 대상자에 해당하게 된다. 이에 따라 네이버, 카카오, 쿠팡 등 주요 플랫폼이 해당할 것으로 평가됐다.
/김문기 기자(moon@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기