지난해 7월 국정원 등 각국의 정보기관에 해킹프로그램, RCS를 대량 판매한 것으로 드러나 전세계를 떠들썩하게 만들었던 이탈리아 해킹팀이 최근 활동을 재개했음을 보여주는 악성프로그램이 발견됐다.

미국의 보안업체 센티넬원(Sentinelone)의 페드로 빌라사 연구원은 최근 입수한 악성프로그램 샘플을 분석한 결과 이탈리아 해킹팀이 사용하던 RCS, 즉 리모트 컨트롤 시스템과 같은 소스코드를 사용하고 있는 것으로 확인됐다고 자신의 블로그에 밝혔다.

▲ 악성프로그램 소스코드 분석화면. 이탈리아 해킹팀과 같은 소스코드를 사용했다.

또 이 악성프로그램에 심어진 암호화 코드의 작성 날짜가 2015년 10월 16일로 돼 있는 것으로 미루어 볼 때 해킹팀이 지난 7월 사태 이후 다시 활동을 시작했을 가능성이 크다고 지적했다.

이 악성프로그램은 감염된 컴퓨터에 다른 프로그램이 설치되도록 도와주는 것으로, 이번에 발견된 샘플은 애플의 운영체제를 사용하는 컴퓨터를 대상으로 하고 있으며 감염될 경우 해킹팀의 RCS가 설치되도록 유도하는 것으로 드러났다.

또 소스코드에서는 악성프로그램에 명령을 보내는 서버의 아이피주소도 발견됐는데 아이피 검색 결과 할당대역은 영국으로 돼 있지만 이미 차단돼 있는 것으로 나타났다.

빌라사 연구원은 이번에 발견된 악성프로그램은 해킹팀의 내부 소스코드가 유출됐을 때 확인했던 마지막 버전인 2015년 3월 버전과 같은 형식을 띄고 있지만 백신프로그램에 검출이 어렵도록 약간의 업그레이드가 이루어져 있다면서 ‘새로운 코드로 다시 돌아오겠다’고 선언했던 이탈리아 해킹팀이 그동안 큰 발전을 이루지는 못한 것 같다는 설명도 덧붙였다.

이와 관련해 보안업체 사이낵의 연구원 패트릭 워들은 이번 악성프로그램이 예전에 사용했던 형식을 사용하고는 있지만 소스코드의 분석을 어렵게 하기 위해 애플의 암호화 구조를 사용하는 등 몇가지 발전된 기술이 사용됐다는 분석도 내놓았다.

이번에 발견된 악성프로그램은 두 가지 형태로 지난 2월 4일 구글이 운영하는 바이러스 검색사이트인 ‘바이러스토탈’에 처음 올라왔으며 당시에는 어떤 백신프로그램에도 검출이 되지 않았으나 지금(3월1일 현재)은 55개 백신프로그램 가운데 안랩의 V3 등 19개가 이를 감지할 수 있는 것으로 나타났다.

▲ 바이러스토탈 화면. 19개 백신프로그램에 검출되는 것으로 나타난다.

이탈리아 해킹팀은 지난해 7월 400 기가바이트 분량의 내부자료와 소스코드가 해킹으로 유출된 후에도 변함없이 사업을 진행하겠다는 입장을 밝혔다.

이와 관련해 국정원 대변인은 “지난해 7월 해킹팀의 RCS를 국정원이 도입해 사용하고 있다는 사실이 밝혀져 논란이 일었을 당시에 국정원은 RCS의 사용을 중단하겠다”고 밝힌 입장에서 변화가 없다면서도 현재도 중단 상태인지 여부에 대해선 일일이 확인해주기 어렵다고 말했다.