위키리크스, 美CIA 리눅스서버 감청 해킹툴 폭로

미국 첩보기관을 통해 무차별 진행된 사이버 감청의 범위는 개인과 가정을 넘어 대다수 온라인서비스를 제공하는 리눅스서버까지 아우르는 것으로 드러났다.

미국 지디넷은 4일(현지시간) 위키리크스의 최신 볼트7 공개 문건에 ‘아웃로컨트리(OutlawCountry)’라는 리눅스용 악성코드를 사용한 해킹툴의 세부 내용이 담겼다고 보도했다. 아웃로컨트리는 미국 중앙정보국(CIA)이 만든 리눅스 서버 감청용 해킹툴이다. 폭로 전문 웹사이트 위키리크스가 지난 3월부터 ‘볼트7(Vault7)’이란 이름으로 공개해 온 8천건의 CIA 비밀문서에서 발견된 내용이다. [☞원문 바로가기]

최근 위키리크스가 소개한 문건은 2015년 6월 4일 작성된 것으로, 아웃로컨트리를 “리눅스 서버의 아웃바운드 트래픽을 CIA측 운영자가 만든 넷필터(netfilter)나 IP테이블(iptable)로 리다이렉트하게끔 컨트롤되게 해주는 리눅스2.6 커널 모듈”이라 설명하고 있다. 넷필터는 리눅스커널 네트워킹 스택에 포함된 패킷필터링 프레임워크다.
아웃로컨트리(OutlawCountry)는 CIA측 공격자가 원하는 리눅스서버에서 외부로 보내는 트래픽을 감청할 수 있게 만들어주는 악성코드로 위키리크스 폭로 문건을 통해 공개됐다.
아웃로컨트리(OutlawCountry)는 CIA측 공격자가 원하는 리눅스서버에서 외부로 보내는 트래픽을 감청할 수 있게 만들어주는 악성코드로 위키리크스 폭로 문건을 통해 공개됐다.

아웃로컨트리는 넷필터 테이블을 생성한다. 이는 실제 리눅스시스템 관리자의 기존 넷필터 규칙을 덮어씌우는 새 규칙을 만드는 용도로 쓰일 수 있다. 새 규칙은 오로지 그 테이블의 이름을 알고 있는 관리자에게만 보인다. 생성되는 테이블은 모호한 이름을 쓴다. CIA 문건에 제시된 문자열 ‘dpxvke8h18’이 그런 테이블 명칭의 예다. 공격자는 이로써 들키지 않고 표적 시스템의 방화벽 규칙을 무시할 수 있다.

아웃로컨트리 악성코드는 64비트 리눅스커널 2.6.32 버전을 탑재한 레드햇엔터프라이즈리눅스(RHEL) 6.x 버전대와 센트OS 6.x 버전대 시스템을 겨냥해 만들어졌다. 운영자가 이를 사용해 리눅스서버 트래픽을 감청하려면 대상 시스템이 아웃로컨트리 모듈을 읽어들여 루트 권한을 확보하도록 미리 표적을 해킹해야 한다.

레드햇 설명에 따르면 아웃로컨트리 모듈 1.0 버전은 IP테이블 내부 프리라우팅(PREROUTING) 체인에 동적 네트워크주소변환(DNAT) 규칙을 추가하는 기능만을 지원한다. [☞원문 바로가기] 위키리크스는 “운영자는 표적 운영체제에 이 커널 모듈을 주입하기 위해 (다른) 쓸 수 있는 CIA 공격코드와 백도어에 의존해야 한다”고 표현했다.

그간 위키리크스 측은 일련의 문건 폭로를 통해 CIA의 여러 악성코드를 소개해 왔다.