대학원생 때 겪었던 침해사고 경험

최근에 개인적으로 보안 관련 프로젝트를 하면서 사이버 침해사고 사례를 찾아보던 중, 대학원을 다닐 때 침해사고(?)를 겪었던 일이 갑자기 생각났다.

사실 침해사고라고 거창하게 말할 사건까지는 아니였는데 전말은 이렇다.

연구실에서 한창 모바일 악성코드 분석 플랫폼을 개발하고 있었는데, 오드로이드(Odroid) 디바이스에 안드로이드 이미지를 올려서 실제 폰 환경과 동일하도록 무선랜을 꽂아 와이파이를 연결하여 테스트를 하던 중이었다.

 

 

오드로이드는 대충 이렇게 생긴 디바이스이다.

 

 

내가 분석하던 샘플은 보통 이미 악성으로 분류가 된 APK였고, "오드로이드에 설치해서 실행을 시킨다 한들 C&C 서버는 이미 닫혀있겠지?" 라는 안일한 생각으로 와이파이에 연결한 채 악성 앱을 실행했다.

악성 앱 10개쯤 분석해서 실행 로그도 뽑아내고 악성 앱이 커넥션을 맺으려는 C&C 서버의 주소나 IP도 확인하여 기록을 해놓고 퇴근을 했는데, 다음 날 갑자기 KISA에서 학교로 공문이 날아왔다.

 

학교 내 특정 IP에서 C&C서버와 통신을 한 이력이 발견되었고, IP를 추적해보니 우리 연구실이여서 고대로 학교에서 교수님을 통해 우리에게 해당 공문이 넘겨졌다.

이때까지만 해도 나는 아니겠지라는 마음을 가지고 계속 업무를 보고 있었는데, KISA에서 내부망의 사설 IP까지 알아내서 한번 더 공문이 왔었는데 연구실 모든 인원이 자신의 IP를 확인해보기로 했다.

오드로이드에 유선 랜을 이용해서 사용하고 있었기 때문에 내가 범인이라는 것이 밝혀졌었고, 전날에 분석한 URL들을 Virustotal에 하나씩 넣고 찾아보다가 한 URL이 여전히 활성화되서 악성코드를 배포하고 있다는 것을 알게되었다.

 

결국에는 KISA에서 보내준 침해사고 대응 보고서까지 쓰고 연구실 전체 PC에 KISA에서 보낸 백신을 설치하고 검사를 다 돌린 후에야 사건은 일당락 되었다.

사실 대응 보고서라봤자 별건 없었지만 웜 같이 내부망 전체에 퍼지는 악성코드가 유포되었을 수도 있었기 때문에 전용백신을 설치해서 검사하는 것이 귀찮았는데, 하필 그 백신이 안랩에서 만든 백신이어서 이후에 노트북에서 삭제하기도 까다롭게 해놨었던 걸로 기억한다.

프로세스를 종료하는 것도 어려워서 작업관리자 창까지 들어가서 서비스 프로그램 자체를 강제 종료시켜야했고 언인스톨도 일반적이지 않아서 안전모드로 들어가서 삭제했던 것 같다.

 

생각해보면 안드로이드 악성코드이기 때문에 추가 악성코드 배포도 APK 파일을 다운로드 받았을텐데, 일반 PC 백신을 돌린다는게 바보같은 짓이긴 했지만 강제 사항이니 어쩔 수 없었던 것 같다.

이렇게 학교 같은 교육기관이나 병원, 공공기관에서는 침해사고가 한번 잘못터지면 정말 귀찮아진다는 걸 깨닫고 그 다음부터는 오드로이드에서 가급적이면 네트워크를 활성화해서 이용하지 않았다.

어차피 API 후킹 다 되어있어서 악성 앱 실행시키면 어디로 커넥션 맺는지 IP도 확인할 수 있었던 마당에 왜 그랬는지는 아직도 의문이긴 하지만 최대한 실제 기기와 동일하게 만들려고 했던 상황이었기 때문이었던 걸로 기억한다.

 

꽤 시간이 지난 지금은 이때의 경험이 있었기 때문인지, 뭔가 안전하지 않아 보이는 사이트나 이메일에 포함된 URL을 클릭하기 전에 항상 Virustotal에 먼저 확인하는 습관을 가지게 되었다.

실제 침해사고를 분석하는 사람이 아닌 침해사고를 당해서 귀찮은 보고서를 작성해야 하는 사람이 되어본 나로써는 다시 겪고 싶지 않은 일이다.