합법적인 보안 도구가 사이버 범죄자들에게 전용될 경우 어떤 일이 벌어질까요? 바로 이 경우, 인포스티러(infostealer) 악성코드의 배포가 그것입니다.
우리가 ‘절대 잘못된 손에 들어가서는 안 되는’ 것에 대해 할 수 있는 진정한 보장은, 결국에는 그렇게 될 것이라는 사실일지도 모릅니다. 대표적인 사례로, BleepingComputer는 월요일에 사이버범들이 Shellter라는 합법적인 레드팀 도구의 유출 버전을 사용하여 악성 코드를 전개하고 있다고 보도했습니다.
Shellter Project는 자사 내부 R&D를 통해 직접 개발된 "가장 정교한 로더(loader)"이며 "고유한 정적 및 런타임 회피 기능을 제공한다"고 설명합니다. 이 도구는 또한 "페이로드와 무관하며(payload agnostic)" 모든 인기 있는 C2(명령어-제어) 프레임워크에서 생성되는 위치 독립적 코드(Position Independent Code)와 함께 사용될 수 있습니다.
요약하자면, Shellter는 방어 체계를 우회하고 C2 인프라와 연결하는 데 사용되는 도구입니다. Shellter의 본래 사용 목적(사이버 보안 전문가가 조직의 방어 능력을 평가할 수 있도록 하는 것)과 사이버 범죄 활동의 유일한 차이점은, 전자의 경우 전문가가 먼저 허가를 받아야 한다는 점에 지나지 않습니다.
한편, 지속적인 악성코드 웜(worm)인 CanisterWorm은 명확한 이유 없이 시간대(time zone)를 이용하여 이란의 기기를 식별하고 삭제하는 것으로 알려졌습니다.
긍정적인 소식은 The Shellter Project가 잠재 사용자에게 소프트웨어 사용 전 심사(vetting) 과정을 거치도록 요구한다는 점입니다. 그러나 안 좋은 소식은 Elastic Security Labs가 7월 3일, "2025년 4월 후반부터 다수의 금전적 동기를 가진 인포스티러(infostealer) 캠페인들이 SHELLTER를 사용하여 페이로드를 패키징하는 데 사용해 왔다"고 보고한 것입니다.
Elastic의 보고서는 Shellter의 작동 방식과 함께, 어떤 종류의 악성코드(ArechClient2 / Sectop RAT 및 Rhadamanthys)를 전개하는 데 사용되었는지에 대한 세부 정보를 담고 있습니다. Elastic는 또한 다음과 같은 내용을 포함했습니다.
상업용 [공격 보안 도구] 커뮤니티가 자신들의 도구를 합법적인 목적으로 유지하기 위해 최선을 다하고 있음에도 불구하고, 완화 방법은 불완전합니다. 그들은 많은 고객과 마찬가지로 끊임없고 의도가 있는 공격자들을 직면합니다. 비록 Shellter Project가 지적 재산권 손실과 미래 개발 시간 측면에서 피해를 입었지만, 보안 공간의 다른 참여자들은 이제 더 강력한 도구를 휘두르는 실제 위협에 대처해야 합니다. — Elastic Security Labs
The Shellter Project는 이에 대해 다음과 같이 반박했습니다. "Elastic Security Labs가 우리에게 무모하고 비전문적인 방식으로 행동하기로 선택했으며"(강조는 해당 기관의 것), "위협을 완화하기 위해 협력하는 대신, 공공 안전보다 공적인 주목도를 우선시하여 깜짝 폭로를 하려는 결정을 내렸다."
공격 보안과 방어 보안 사이의 이러한 밀고 당기기는 매우 오래전부터 지속되어 온 논쟁거리입니다. 가장 주목할 만한 사례는 2017년 5월, IBM이 "지금까지 경험한 가장 빠르게 확산된 사이버 범죄 공격"이자 "세계가 겪은 가장 큰 사이버 보안 사건"이라고 묘사한 랜섬웨어 공격 WannaCry를 통해 발생했습니다.
WannaCry가 빠르게 확산될 수 있었던 것은, 마이크로소프트 SMBv1의 여러 취약점을 이용해 윈도우 시스템을 감염시킨 EternalBlue 익스플로잇을 이용했기 때문입니다. (SMBv1 서버를 실행하는 다른 장치들도 마찬가지였습니다.) 그러나 EternalBlue는 WannaCry의 개발자들이 만든 것이 아니라 미국 국가안보국(NSA)이 제작한 것입니다.
NSA는 이 취약점들을 EternalBlue를 통해 악용하는 대신 마이크로소프트에 알려야 했을까요? Elastic Security Labs는 자신들의 소프트웨어가 사이버범들에게 유출되어 악성코드 배포에 사용된다는 사실을 The Shellter Project에 알려야 했을까요? 혹은 애초에 Shellter의 기술들을 방어자들에게 공개했어야 했을까요?
이러한 질문들 중 어느 것에 대해서도 가까운 시일 내에 합의된 답이 나올 가능성은 낮습니다. NSA나 The Shellter Project 같은 조직들은 안티바이러스 소프트웨어, 엔드포인트 탐지 및 대응 시스템(EDR) 등을 우회할 방법을 계속 찾아낼 것이며, 이것이 그들의 본분입니다. 그리고 Elastic Security Labs와 같은 곳들도 그러한 우회 방법을 공개할 것입니다.
어쩌면 가장 먼저 답변되어야 할 더 큰 질문이 있을지도 모릅니다. 과연 이것은 누구를 돕고 있는 것일까요? (자연스러운 후속 질문은 당연히, 그것이 우리가 돕고자 했던 대상이 맞는지 여부일 것입니다.)
최신 뉴스, 분석, 리뷰를 피드에서 받아보려면 구글 뉴스에서 Tom's Hardware를 팔로우하세요. '팔로우' 버튼을 클릭하는 것을 잊지 마세요.