default_setNet1_2

[주요 사이버 공격 그룹⑥] 악성코드만으로 공격자 특정 어려워

기사승인 2018.07.06  10:21:32

공유
default_news_ad1

- 공격 목적·사회적 배경 이해해야 공격자 추적 가능…정교한 프로파일링으로 공격 그룹 분류·분석

7월 정보보호의 달을 맞아 전 세계 주요 사이버 공격그룹의 활동과 공격 사례를 통해 최신 공격 동향과 공격 목표 등을 알아보고 공격 대응 방안을 모색해 본다. 목표를 달성하기 위해 수단과 방법을 가리지 않는 공격자들은 공격 증거를 위조하고 다른 조직에게 뒤집어씌운다. 이러한 공격기법을 잘 파악하고 공격자를 추적하는 방어조직의 노력을 살펴본다.<편집자>

올림픽 파괴자, 유럽 타깃으로 공격 재개

미국, 서유럽 지역은 오랜 기간 사이버 공격을 당해왔다. 정치적·금전적 목적으로 정부 주요 기관, 에너지, 핵 시설, 발전소, 통신시설 등 주요시설이 공격 대상이 돼 왔다. 최근에는 평창동계올림픽을 공격한 ‘올림픽 파괴자(Olympic Destroyer)’가 독일, 프랑스, 스위스, 네덜란드, 우크라이나, 러시아에 있는 생화학 공격 방어 관련 기관을 노리고 있는 것으로 알려졌다.

카스퍼스키랩은 스위스에서 열린 생화학 공격 컨퍼런스 관련 내용으로 위장한 악성문서가 첨부된 이메일이 관련기관 종사자들에게 유포됐으며, 우크라이나의 보건과 축산 관리 정부 기관을 표적한 문서도 발견됐다고 설명했다. 일부 문서는 러시아어와 독일어로 작성됐다.

유럽, 북미 지역 에너지 분야를 노리는 ‘드래곤플라이(Dragonfly)’ 공격은 2011년 등장했다가 2015년 다시 등장해 2017년 활발한 활동을 벌여왔다. 시만텍에 따르면 미국, 터키, 스위스 등에서 활동이 감지됐으며, 스피어피싱, 워터링홀 공격으로 타깃 사용자를 유도했다. 감염 후 중요 시스템 자격증명을 탈취해 장기간 사이버 스파이 활동을 벌여왔다.

   
(자료: 카스퍼스키랩)

프로파일링으로 공격그룹 분석·대응

러시아, 중국, 북한, 이란, 베트남 등 특정 국가가 사이버 공격 배후로 의심 받는 것은 다수의 공격에서 누구도 모방할 수 없는 특징이 감지됐기 때문이다. 사이버 범죄 수사조직과 침해대응 조직들은 침해사고를 조사하면서 공격 유형과 특징별로 분류하고 주요 공격그룹의 프로파일을 만든다.

프로파일에는 각각의 공격그룹이 자주 사용하는 공격도구 유형과 주로 사용하는 언어, 공격에 사용하는 C&C 서버 위치, 공격이 일어나는 시간, 공격 목표와 공격을 성공시켰을 때 얻게 되는 이익, 정치·사회·경제적인 배경 등을 감안해 프로파일을 만든다.

문종현 이스트시큐리티 이사는 “공격자들이 자신을 숨기려고 노력해도 어느 순간 실수로 자신을 노출하는 경우가 있다. 자신의 이메일 주소가 남아있거나 커뮤니케이션 기록이 남아있을 수 있고 VPN이 끊겨 접속위치가 노출되는 경우도 있다. 수많은 공격을 분석하면서 이러한 증거를 수집하고 분류해 프로파일을 만드는 것”이라고 말했다.

그는 이어 “악성코드만을 분석해서는 공격자를 추정할 수 없다. 공격자는 증거를 조작하고 다른 공격조직에 덮어씌우는데 능숙하다”며 “우리나라 분석가들은 북한이 배후에 있는 공격을 가장 많이 분석해왔기 때문에 이 분야에서 높은 전문성이 있다. 우리나라 분석가들은 북한의 문화와 특성을 잘 알고 있으며, 정치·사회적인 공격 배경을 잘 이해하고 있다. 국내 분석가들의 역량을 인정하고 육성하는 방안이 필요하다”고 덧붙였다.

위협 인텔리전스로 공격 조직 추적

공격그룹의 프로파일을 만들 때, 수집하는 정보가 많을수록 정확한 분석이 가능하다. 보안 기업들은 전 세계에 위협 정보를 수집하는 센서를 설치하고 머신러닝과 빅데이터 기술을 이용해 위협을 분석, 분류하고 프로파일을 업데이트한다. 위협 인텔리전스만을 분석하는 전문조직을 통해 공격그룹을 끝까지 추적하면서 공격 정황을 탐지하고 예방할 수 있도록 한다.

시만텍의 경우 전 세계 1억7000만개 엔드포인트, 블루코트의 웹 프록시를 통해 정보를 수집하며, 방대한 데이터 내에서 공격자 단서를 찾아낸다. 표적공격 전문 분석팀 ‘STAR’를 통해 전 세계 공격그룹을 분석하고 새로운 공격툴을 찾아내며 향후 예상되는 공격을 추적한다.

시만텍은 오랜 기간 추적한 공격그룹 프로파일을 기반으로 표적공격을 분석하는 ‘표적공격 애널리틱스(TAA)’를 출시하기도 했다. TAA는 STAR를 통해 축적한 공격그룹의 공격기법을 머신러닝으로 학습시킨 것으로 시만텍 ATP 솔루션과 EDR 솔루션에 통합돼 지능형 위협 탐지·대응 능력을 향상시킨다.

윤광택 시만텍코리아 상무는 “공격그룹 프로파일링만으로는 모방범죄나 수사에 혼선을 주는 위장범죄를 가려내기 어렵다. TAA는 공격자 프로파일에 인텔리전스를 더해 정확하게 공격그룹을 분류하고 진행되는 공격을 탐지·방어할 수 있도록 한다”고 설명했다. 

김선애 기자 iyamm@datanet.co.kr

<저작권자 © 데이터넷 무단전재 및 재배포금지>
default_news_ad4
default_side_ad1

인기기사

default_side_ad2

포토

1 2 3
set_P1
default_side_ad3
default_setNet2
default_bottom
ad28
#top