Hacker
The Shadow Brokers, 이 시대의 트래커
2017 05 29
  • Facebook
  • Twitter
  • Copy URL

이 시대에 가장 유명한 크래커는 누구일까. 한때를 화려하게 장식했던 케빈 미트닉은 너무 옛날 사람이다 보니 지금 해커들은 기억이나 할까 싶다. 아니면 어나니머스? 하지만 확실하게 떠오르는 인물들이 있다. 몇 년 전부터 계속 입에 오르락내리락 하는 해커들이 하나 있으니 아마 지금 이 글을 읽고 있는 당신이라면 한 번쯤은 들어봤을 수 있다. 오늘은 이 해커들의 이야기를 하고 싶다. 그들이 누구인지, 어느 나라의 국적을 가지고 있고 그들 뒤에는 누가 있는지, 그들이 하는 일에 어떠한 동기도 알 수 없지만 그들은 끊임없이 뉴스 타이틀을 따낸다. NSA 해킹 사건[1]부터 요즘 한창 문제가 되는 WannaCry 랜섬웨어까지 안 끼는 곳이 없다.[2] The Shadow Brokers 그들은 누구인가.

이미지를 불러오는데 실패했습니다.

The Shadow Brokers는 2016년에 처음 등장한 해커 그룹으로 미국 국가안보국(NSA)을 해킹하여 여러 해킹 도구를 탈취했다.[3][4] 그들은 NSA에서 훔친 해킹 도구를 경매에 부치는 등 공개적으로 내비쳐 사건을 더 크게 만들었을 뿐만 아니라 다섯 번의 탈취 정보 유출 등 잊을 만하면 나타나 사건, 사고를 일으키는 해커 그룹이다. 이뿐만 아니라 최근 상당히 문제가 되었던 랜섬웨어 WannaCry가 The Shadow Brokers 해커 그룹으로부터 유출되었다는 정황이 포착되면서 다시 한번 그들이 누구인지 세간의 주목을 받았다.[5]

The Shadow Brokers, 그들이 누구인지는 아직 밝혀지지 않았다. 하지만 그들의 그룹명은 추측하기로 매스 이펙트(Mass Effect)라는 비디오 게임에서 나오는 캐릭터를 본 따 만들었을 가능성이 가장 높다. 정확히 맷 스위치(Matt Suiche)라는 극 중 캐릭터는 정보를 거래하는 광대 조직 캐릭터로 가장 높은 입찰자와 거래를 하며 이러한 거래에 능한 캐릭터다.[6][7] 물론, 이러한 추측이 진짜인지 아닌지는 그들의 존재가 밝혀지면 확실해질 이야기지만 여러 뉴스와 언론매체에서는 그들을 이런 식으로 발표했다. 

The Shadow Brokers와 관련한 또 다른 추측으로 그들이 러시아의 해커집단이라는 것이다. 이에 대한 근거로 NSA 해킹에 사용된 기술과 방법이 러시아를 가리키고 있으며 내부고발자 에드워드 스노든이 당시 NSA 해킹 사건이 터지고 이에 대해 이 같은 사건의 배후는 러시아일 것이라고 답했기 때문이다.[8] 다른 한 편으로는 그들이 북한의 배후라는 이야기도 있다. 이 역시 북한의 김정은 정권시절에 있었던 해킹 사건과 비슷한 요소를 가지고 있어 용의자로 지목되었다.[9] 하지만 이 또한 단순히 추측일 뿐, 그들이 북한 국적을 가지고 있는지 러시아 국적을 가지고 있는지는 그들이 누군지 정확히 밝혀져야 확실해질 이야기다. 

The Shadow Brokers의 첫 등장은 앞서 얘기했듯이 2016년 8월에 시작된다. 자신들을 The Shadow Brokers라고 밝힌 익명의 해커는 트위터 계정을 통해 NSA에서 사용되는 ‘Equation Group’의 다수의 해킹 도구를 훔쳤다고 밝혔다.[10] Equation Group은 NSA 소속으로 추측되는 엘리트 해커 그룹으로 사이버 무기 스턱스넷이나 두쿠, 플레임 등을 제작한 상당한 실력의 소유자들이라고 평가되며 에드워드 스노든도 Equation Group이 NSA의 엘리트 해커 그룹이라는 이야기를 했었다.[11] 하지만 NSA에서는 이에 대해 아직 공식적인 입장을 밝히지 않아 확실하다고는 말할 수 없다 하여도 Equation Group이 NSA의 해커 그룹인 것은 어느 정도 기정사실로 되어 있다.

아무튼, The Shadow Brokers는 자신들이 훔친 도구가 진짜임을 증명하기 위해 자신들의 메시지와 샘플 파일을 함께 깃허브로 공개했다.[12] 공개된 샘플 파일 중 일부분은 무료로 공개되어 있었으며 다른 일부분은 암호화되어 있어 경매를 통해 자신들에게 비트코인을 가장 많이 보내는 이에게 공개하겠다고 밝혔다. 더불어, The Shadow Brokers는 자신이 훔친 해킹 도구가 2010년 원자력 시설을 침입하는데 사용된 스턱스넷보다 더 훌륭한 해킹 도구라는 이야기도 덧붙였다.[13]

The Shadow Brokers는 10월 31일, TrickOrTreat라며 한 자료를 깜짝 공개했다. 이는 NSA에 의해 해킹당한 서버 목록으로 중국 일본 및 한국 상위 3개 국가 대상을 포함한 총 49개국의 서버목록이었다. 데이터 덤프에는 총 306개의 도메인 이름과 352개의 IP 주소를 포함하고 있으며 적어도 49개 국가에서 호스팅 되었다. 더불어 유출한 데이터 목록에는 Dewdrop, Incision, Jack Ladder, Reticulum, Patchicllin, Sidetrack 및 Stoisesurgeon 을 포함하여 아직 공개되지 않은 NSA의 해킹 도구도 여럿 언급되었었다.[14]  

The Shadow Brokers가 다시 나타난 것은 그로부터 얼마 안 있고 난 후부터다. 그들 생각대로 다른 사람들이 경매에 참여하지 않자 The Shadow Brokers가 직접 판매할 것이라는 공지를 했다. 그러면서 자신들이 판매할 해킹 도구의 리스트를 첨부하였다. 리스트를 보면 약 60개의 폴더가 있으며 거기에는 실행 파일이 포함되어 있지않고 도구 파일 구조의 스크린샷이 첨부되어 있었다.[15] 사람들은 여전히 긴가민가했지만, 전반적인 상황으로 봤을 때 해킹 도구가 진짜라는 것에 신뢰감을 받았을 것이다.

그럼에도 불구하고 그들의 의도는 보기 좋게 빗나갔고 아무도 그들의 생각대로 움직여주지 않았다. NSA의 해킹 도구라고 밝혀진 상태에서 그들의 경매에 참여한다는 것은 미국의 눈치를 가볍게 먹을만한 존재라는 건데 그런 대범한 녀석이 존재하지 않았다는 것이 변수였다. 2017년 1월 결국, 그들은 아무도 안 사는 해킹 도구를 가지고 장사를 접을 수밖에 없었고 이어서 자신들의 은퇴 발표와 해킹 도구를 공개하겠다고 밝혔다.[16]

2017년 4월 8일, The Shadow Brokers는 2016년에 공개한 암호화된 해킹 도구의 비밀번호를 공개했다. 당시 공개된 이 게시물에서는 트럼프를 지지한다는 내용과 함께 부분적으로 시리아 비행장에 대한 트럼프 대통령의 공격에 대응하여 러시아군이 사용했다는 것을 밝혔다.[17] 이 때문에 그들이 잠깐 블랙 해커가 아닌 그레이, 화이트 해커 혹은 어나니머스로 보는 시각도 있지만 이후 발생한 사건에 의해 확실하게 블랙 해커의 이미지를 가지게 되었다.

2017년 4월 14일, The Shadow Brokers는 트위터를 통해 Microsoft 취약점을 공개했다.[18] 이는 윈도우 컴퓨터 및 서버의 취약점을 포함한 것으로 전 세계 은행시스템 특히, EastNets라고하는 자금 세탁 방지 금융 기관을 대상으로 사용되었을 수도 있다. 더불어, 유출된 문서에는 암호, 데이터 구조 및 네트워크에 대한 내용이 포함되어 있다. 이러한 the Shadow Brokers의 발표에 따라 Microsoft는 이번 the Shadow Brokers가 공개한 취약점은 예전에 수정된 것으로 이미 사용자들은 이러한 취약점으로부터 보호를 받고 있다고 전했다. 또한, 몇몇 개는 공개되기 약 한 달 전 3월 14일에 Microsoft Security Bulletin에서 패치되었다.[19]

자기 소신을 펼치고 하고 싶은 대로 하고 Microsoft의 취약점도 공개해버리는 등 어나니머스인지, 그레이 해커인지 상당히 애매하게 행동한 것 치고 블랙해커들로 낙인 찍힌 가장 큰 사례는 WannaCry 랜섬웨어 유출과 연관되어 있다는 것이 밝혀지면서다. WannaCry 랜섬웨어는 서버 메시지 블록(SMB)에 취약점을 통해 퍼져나갔다.[20] WannaCry 랜섬웨어는 같은 네트워크에 연결되어 있으면 감염되는 악성코드로 여기서 사용된 취약점이 NSA에서 가지고 있던 취약점이라는 이야기가 있다. 더불어, the Shadow Brokers가 SMB 취약점(MS17-010)에 대해 공개하면서 거의 누가 유출했는지 기정사실이 되었다.[21]

한 차례 WannaCry 이가 지나가고 the Shadow Brokers는 6월에 새로운 전략을 가지고 왔다.[22] 번번히 실패한 판매 전략은 재구성하여 월정액으로 매달 돈을 내기만 하면 해킹 도구를 공개하겠다고 밝혔다. 워낙 줄줄이 판매 전략에 실패했던 터라 이 같은 전략이 먹힐지 이제는 흥미롭게 바라봐진다고 해야 하나. 이 외에도 그들은 6월 제2차 WannaCry 공격을 감행할 것이라는 예고를 하기도 했다. 이 공격은 Windows 10을 대상으로 한 공격으로 다른 랜섬웨어와 달리 돈을 내더라도 복호화 키를 받을 사례가 없어 더 각별한 주의가 필요하다고 말했다.[23]

주식, 은행, ATM 등 특정 다수 혹은 무언가를 대상으로 공격하던 예전 범죄에 달리 해커 그룹명을 걸고 이제는 돈을 벌기 위해 불특정하고 광범위한 다수를 대상으로 공격을 감행하는 것도 어떻게 보면 예전 범죄와는 다른 점이라고 볼 수 있겠다. the Shadow Brokers는 그런 면에서 시대에 따라 바뀐 범죄자의 모습을 잘 보여준다고 생각한다. NSA를 해킹하여 엄청난 양의 해킹 도구와 정보를 가져오고 이를 사업적으로 쓸 뿐만 아니라 트럼프를 지지한다는 자신의 의견을 피력하고 랜섬웨어를 이용하여 돈을 버는 등 the Shadow Brokers는 정말로 현시대에 가장 대표적인 트래커 집단이지 않은가.

유성경 yuopboy@grayhash.com