컴퓨터는 사용자가 반영구적으로 사용하는 파일도 저장하고, 사용자의 편의성을 위해 일시적으로 사용하는 파일도 컴퓨터에 저장한다. 이런 일시적은 파일은 사용자의 편의성을 위해 프로그램들이 필요한 자료를 임시로 다운받는 것으로, 이를 Temporary의 약자인 Temp 파일이라고 한다. Temp 파일의 종류는 쿠키나 메모리 덤프, 파일 조각, 시스템 캐시, 로그 파일 등 매우 다양한데, 이런 파일 한두 개는 무척이나 가소롭지만, 막상 쌓이고 쌓여 삼천 개, 몇천 개가 되면 이 녀석들이 잡아먹는 컴퓨터 용량도 상당하다. 이 때문에 Temp 파일은 일정 기간마다 삭제해주는 것이 컴퓨터 건강상 좋은 일이다. 각각의 파일을 하나하나 폴더에 들어가서 지우기란 매우 귀찮은 일, 따라서 손쉽게 클릭 한 번으로 혹은 정기적으로 이런 임시 파일들을 지우는 고클린, CCleaner 같은 프로그램도 많이 나와 있다. 그 중 CCleaner는 수많은 사용자를 보유하고 있으며, 특히나 많은 기업의 사용자를 보유하고 있는 나름 이름값 하는 프로그램 중 하나다. 하지만! 수많은 사용자를 보유하고 있는 프로그램에 문제가 생겼으니, 이 프로그램에 백도어가 첨부되어 많은 이들에게 퍼져 나간 것이다.
그럼 CCleaner는 뭘까. CCleaner는 앞서 얘기한 것처럼 간편하게 파일을 정리하는 메모리 최적화 도구다. CCleaner는 여러 기능을 하고 있는데, 이 프로그램을 이용하면 윈도우 시스템 및 각종 소프트웨어에서 발생한 임시 파일 등을 정리할 수 있다. 윈도우 운영체제에서 사용하는 웹 브라우저는 물론, 사파리, 파이어폭스, 크롬 등 사용자가 추가로 설치한 웹 브라우저의 캐시 및 쿠키 등도 모두 제거할 수 있다.[1] CCleaner는 Windows뿐만 아니라 맥에서도 사용할 수 있고[2], 최근 Avast가 인수하면서 전 세계적으로 다운로드 수가 20억 건이 넘는 아주 인기 좋은 프로그램이다. 정리하면 CCleaner는 개인 PC 사용자가 자신의 PC 시스템을 정리하여 최적화하고, 작업 능률을 향상하는데 많은 도움이 된다.[3]
보안 회사인 Morphisec와 Cisco는 체코의 Avast에서 배포하는 보안 소프트웨어, CCleaner가 누군지 모를 해커들에 의해 해킹당해 프로그램에 백도어가 있었다고 밝혔다. 8월 15일부터 9월 12일까지 한 달 동안 배포된 CCleaner는 약 70만 대가 감염되었을 것으로 보고 있다. 감염된 버전은 CCleaner의 5.33.6162버전과 CCleaner Cloud 1.07.3191버전의 32비트가 영향을 받았다고 한다.[4] Cisco Talos 보안 부서의 연구원의 말에 따르면, 해커가 Avast의 공급망을 훼손했으며, 디지털 인증서를 사용하여 해당 웹 사이트의 합법적인 응용 프로그램에 Floxif 트로이 목마가 포함된 버전으로 바꾸어 유포했다고 한다.[5]
Cisco는 CCleaner조사하는 와중에 해커의 명령 및 제어 서버의 디지털 사본을 확보했다고 밝혔다. 또한, 9월 12일에서 16일 사이에 설치된 백도어로 해커가 연결되었다는 것이 발견되었다. 당시 처음 CCleaner가 알려진 이후로 Avast의 발표로는 70만 대의 PC가 CCleaner에 포함되었다고 한다.[6] 발견된 데이터베이스는 해커가 2차 악성코드를 설치하기 위해 시도한 특정 도메인 목록과 2차로 감염시킬 특정 도메인 목록이 포함되었다. 2차로 발견된 악성코드는 모두 18개 회사를 대상으로 했지만, 연구가 Williams에 따르면 일부 회사는 하나 이상의 컴퓨터가 침해당했고, 몇몇 회사는 아얘 공격한 흔적이 없었음을 지적했다. 그는 실제로 어떤 목표로 침해 당했는지는 언급하지 않았지만, 영향을 받는 모든 기업에게 공격에 대해 경고했다고 말했다. Williams는 또한 Cisco가 포괄적이지 않을 가능성이 있다고 판단하여 대상 기업 목록에 주목했다. 백도어가 설치된 CCleaner의 버전이 배포되면서 그 한 달 간의 동안 해커가 2차적으로 또 다른 공격을 했을 수도 있다.[7] 즉, Williams은 1개월 동안 이런 악성코드를 수정했을 가능성이 매우 높으며, Avast의 발표로는 악성코드는 컴퓨터 이름, IP 주소, 설치된 소프트웨어, 실행 중인 소프트웨어, 네트워크 어댑터 정보 등과 같은 정보를 미국에 있는 서버에 전송하려고 시도했다고 한다.
최근 Piriform을 인수한 Avast는 백도어가 첨부된 CCleaner가 약 227만 대의 컴퓨터에 설치되었다며 피해 규모에 대해 언급했다. 또한, Avast에 발표로는 이번 조사를 통해 이런 공격이 무력화되면서 사용자들이 안전해졌고, 추가로 악성 코드가 백도어를 통해 전달되었다는 표시나 증거는 없었다고 밝혔다.[8]
그렇다면 무슨 목적으로 이런 백도어가 첨부된 프로그램이 유포된 것일까. 서버가 점유된 당시 해커는 자료를 수집하고 감염된 장치에 영구적인 접근을 할 수 있도록, 두 번째 공격코드에서 여러 도메인을 대상으로 하는 것으로 조사되었다. 예를 들어, ‘Ntdev.corp.microsoft.com’은 Windows 개발자를 위한 내부 도메인이지만, hq.gmail.com은 Google 직원을 위한 내부 Gmail 인스턴스인 것으로 보인다. 다른 대상으로는 Sony, Samsung, Intel 및 Akamai 등 여러 대기업을 대상으로 하고 있다는 것이 보인다. 또한, 도메인에는 독일 슬롯 머신 회사와 싱가포르 및 영국의 주요 통신 업체도 포함되어 있으며[9], 이 목록에는 서버가 해킹되기 4일 전에 타겟팅된 도메인만 있어 초기에는 다른 회사가 먼저 대상이 되었을 가능성이 있다.[10] 즉, 두 번째 공격코드의 진짜 목적은 수백만 대의 컴퓨터를 한 번에 공격하는 것이 아니라, 특정 회사에 침입하는 것을 목표로 둔 공격이었다는 것이다. 초기에는 270만대라고 말했지만, 어느 정도 조사가 끝난 현재는 공격으로 노출된 컴퓨터가 70 만대에 불과하다고 예측했다.
누가 이런 공격을 했을까. Talos는 카스퍼스키랩이 처음 만든 CCleaner 백도어 코드가 APT 17 및 72 그룹으로 알려진 해킹 그룹에서 사용되는 백도어와 비슷하다는 것을 확인했다. APT 17 및 72 그룹은 중국에서 나온 해커 그룹으로 예상되며, 명령 서버가 중화 인민 공화국에서 시간대인 1로 설정되어 있음을 확인했다. 그러나 Williams는 해커가 자신을 감추기 위한 목적으로 의도적으로 거짓 증거를 남겼을 수 있다고 경고했다.[11]
Avast는 이미 CCleaner의 온라인 버전과 다운로드 가능한 버전 모두 안전한 프로그램으로 업데이트했다고 한다.[12] 또한, FBI와 협력하여 문제를 조사해나가고 있다고 밝혔다. 이에 대해, 악의적인 서버가 다운되고 다른 잠재적인 서버를 해커가 통제할 수 없다는 의미에서 위협이 해결되었으며, 악의적인 버전의 프로그램도 최신 버전으로 교체했다고 한다. 또한, Avast는 이 사건에 대해 사과했으며 다시는 이런 일이 일어나지 않도록 내부적으로 자세한 조치를 할 것이라고 전했다.[13] 무료 제품을 포함한 모든 제품에 자동 업데이트를 추가하는 것은 앞으로의 잠재적인 위험으로부터 해결해나갈 수 있는 방향으로 제시했다.