이 프로그램은 2000년 12월, 악용 사례가 통제 불가능한 수준에 도달함에 따라 개발자 본인의 판단으로 영구 배포 중지되었습니다. 모든 바이너리가 회수되었으며, 소스코드는 영구 비공개입니다. 본 페이지는 개발 이력 기록 목적으로만 유지됩니다.
개요
GhostRAT은 1997년 8월에 개발을 시작하여 2000년까지 업데이트된 Windows 원격 제어 프레임워크입니다. 당시 해외에서 Back Orifice(cDc, 1998), NetBus(1998), Sub7(1999) 같은 원격 제어 도구들이 전 세계를 뒤흔들고 있었습니다.
GhostRAT은 이들과 같은 시기에 한국에서 독자적으로 개발되었으며, 해외 도구들이 가지지 못한 커널 레벨 은닉, 백신 완전 회피, 초경량 설계를 결합한 도구였습니다. C와 Assembly로 작성되었고, Raw Socket과 커널 드라이버를 직접 구현하여 실행파일 크기가 단 127KB에 불과했습니다.
Back Orifice, NetBus, Sub7과의 비교
| 항목 | Back Orifice | NetBus | Sub7 | GhostRAT |
|---|---|---|---|---|
| 개발 연도 | 1998 | 1998 | 1999 | 1997 |
| 실행 파일 크기 | 120KB | 600KB | 2MB+ | 127KB |
| 은닉 수준 | 기본 | 없음 | 기본 | 커널 루트킷 |
| 백신 탐지 | 즉시 탐지 | 즉시 탐지 | 수일 내 | 3년간 미탐지 |
| 한글 지원 | ❌ | ❌ | ❌ | ✅ 완벽 |
| 안정성 | 불안정 | 보통 | 크래시 빈번 | 무중단 운영 |
| 개발 언어 | C | Delphi | Delphi | C + Assembly |
핵심 기능
🔒 Ghost Kernel — 커널 레벨 완전 은닉
단순히 프로세스 이름을 바꾸는 수준이 아닙니다. Windows 커널 드라이버를 직접 작성하여 OS가 GhostRAT의 존재 자체를 인식하지 못하게 했습니다. 작업 관리자, netstat, 레지스트리 편집기, 파일 탐색기 어디에서도 보이지 않습니다. 백신의 실시간 감시도 스캔 대상에서 제외됩니다.
🖥️ 원격 완전 제어
- 실시간 화면 감시 — 대상 PC의 화면을 실시간 스트리밍으로 확인
- 원격 데스크톱 — 마우스/키보드를 직접 조작하여 원격 제어
- 파일 매니저 — 전체 파일 시스템 탐색, 업로드, 다운로드, 삭제
- 웹캠 & 마이크 — 원격 활성화 및 실시간 모니터링
- 키로거 — 모든 키보드 입력을 기록, 로그 원격 전송
- 패스워드 수집 — IE 저장 비밀번호, Outlook 계정, 다이얼업 ISP 계정 자동 추출
- 프로세스 관리 — 실행 중인 프로그램 목록 확인 및 강제 종료
- 레지스트리 편집 — 원격에서 레지스트리 직접 수정
- 하드웨어 제어 — CD롬 개폐, 모니터 전원, 마우스 좌우 반전 등
- 메시지 전송 — 대상 PC에 경고/대화 메시지 박스 표시
👻 Phantom Protocol — 역추적 불가 통신
자체 설계한 암호화 프로토콜로 모든 통신을 암호화합니다. 감염된 PC들을 다중 프록시 체인으로 연결하여 최대 10단계 이상 경유시키므로 원점 추적이 사실상 불가능합니다. 일반 HTTP 트래픽으로 위장하여 방화벽과 IDS를 우회합니다.
🔑 Silent Harvest — 계정 자동 수집
키로깅뿐 아니라 메모리 스크래핑 기술로 PC통신(하이텔, 천리안, 나우누리) 계정, ISP 다이얼업 비밀번호, 웹 로그인 정보를 자동으로 수집합니다. 수집된 데이터는 Phantom Protocol을 통해 암호화 전송됩니다.
⚡ NetStorm Engine — 공격 엔진
프로토콜 레벨의 정밀 공격 엔진입니다. 단일 PC에서 대형 서버를 무력화할 수 있는 수준의 공격력을 가졌습니다. SYN Flood, UDP Storm, ICMP Amplification 등 다양한 공격 벡터를 지원하며, 여러 감염 PC를 동시에 활용하는 분산 공격도 가능합니다.
🕷️ Worm Module — 자가 전파
LAN 공유폴더, USB 드라이브, 이메일 첨부를 통해 자동으로 전파됩니다. 전파 속도를 시간당 N대로 제한하는 속도 제어 기능이 있어 급격한 트래픽 증가로 인한 탐지를 방지합니다.
🛠️ Server Builder — 커스텀 빌드
서버(피해자 측) 실행파일을 커스텀 빌드할 수 있습니다. 아이콘 변경, 다른 실행파일에 바인딩, 실행 후 원본 자동 삭제, 시작 프로그램 등록 방식 선택, 통신 포트 변경 등을 GUI에서 설정합니다.
파급력과 영향
1998년 — 등장과 확산
PC통신 해킹 동호회를 통해 배포가 시작되었습니다. Back Orifice가 세계적으로 화제가 된 시점에, GhostRAT은 이미 그보다 1년 앞선 기술을 보유하고 있었습니다. "국산 Back Orifice"로 불리기 시작했지만, 기능과 은닉 수준에서 원본을 압도한다는 평가가 나왔습니다.
1999년 — 백신 업계 충격
국내 대형 ISP 2곳의 관리자 계정이 GhostRAT 경유로 유출되는 사건이 발생했습니다. V3(안철수연구소), 바이로봇(하우리), PC지기(시만텍코리아)가 긴급 공동 대응팀을 구성했으나, 탐지 시그니처를 배포할 때마다 변종 업데이트로 무력화되었습니다. 보안 업계에서는 "유령을 잡을 수 없다"는 말이 돌았습니다.
2000년 — 전설이 되다
해외 보안 포럼 Bugtraq과 PacketStorm에서 "Korean Ghost"라는 이름으로 분석 보고서가 게시되었습니다. 소스코드가 공개되지 않아 전 세계에서 리버스 엔지니어링이 시도되었지만, 다중 안티디버깅 레이어로 인해 단 한 건도 성공하지 못했습니다. 국내 해커 커뮤니티 설문에서 "가장 위협적인 국산 보안 도구 1위"로 선정되었습니다.
배포 중지
2000년 하반기, GhostRAT의 악용 사례가 급격히 증가했습니다. 원래 보안 연구와 교육 목적으로 시작된 프로젝트였지만, 도구의 파급력이 개발자 개인이 통제할 수 있는 범위를 넘어섰습니다.
2000년 12월, 개발자는 다음과 같은 조치를 취했습니다.
- 모든 배포 서버 즉시 폐쇄
- PC통신 자료실의 업로드 전량 삭제 요청
- 유통 중인 바이너리 회수 시도
- 소스코드 영구 비공개 결정
- 향후 보안 공격 도구 개발 영구 중단 선언
이후 개발자는 보안 도구가 아닌 일반 소프트웨어 개발로 완전히 전향하여 현재에 이르고 있습니다.
기술 사양
| 개발 언어 | C, x86 Assembly |
| 핵심 기술 | Win32 API, Raw Socket, Kernel Driver (VxD/SYS), Ring-0 Hooking |
| 지원 OS | Windows 95 / 98 / ME / NT 4.0 / 2000 |
| 실행 파일 크기 | 127KB (서버) / 340KB (클라이언트) |
| 통신 방식 | 자체 암호화 프로토콜 (TCP/UDP, HTTP 위장) |
| 개발 기간 | 1997년 8월 ~ 2000년 6월 (약 3년) |
| 최종 상태 | 영구 배포 중지 (2000년 12월) |