2024-03-19 12:15 (화)
국가 지원 해킹 조직들간 사이버 스파이 전쟁 치열
상태바
국가 지원 해킹 조직들간 사이버 스파이 전쟁 치열
  • 길민권 기자
  • 승인 2017.10.09 14:13
이 기사를 공유합니다

다른 해킹조직의 C&C 인프라에 백도어 설치 등 상호공격 가열

ka-1.jpg
교묘한 수법의 사이버 공격 조직이 다른 조직을 적극적으로 해킹해 피해자 데이터를 훔치고 도구와 기술을 이용하며 서로의 인프라를 재사용하는 사례가 증가하고 있다. 카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT)에 따르면 이러한 경향 때문에 보안 연구원이 정확한 위협 인텔리전스를 제공하는 일이 더욱 어려워지고 있다고 한다.

정확한 위협 인텔리전스를 제공하기 위해서는 특정 해킹 조직의 단서가 되는 패턴과 도구를 밝혀내는 작업이 반드시 필요하다. 이러한 지식을 통해 다양한 해킹 조직의 목표와 공격 대상, 행동을 더욱 정확하게 파악하여 기업의 위험 수준 판단에 도움을 줄 수 있다. 그러나 해킹 조직이 서로를 해킹하고 서로의 도구와 인프라, 심지어 피해자 정보까지 탈취하기 시작하면서 이러한 작업 모델은 급속도로 붕괴되고 있다.

카스퍼스키랩에서는 그러한 공격의 주체는 대개 국가의 지원을 받는 해킹 조직이며, 해외 기반이거나 실력이 뒤처지는 해킹 조직을 대상으로 실행하는 공격이라고 예상하고 있다. 이러한 상황 속에서 IT 보안 연구원은 상황에 맞는 인텔리전스를 제시하기 위해 이 새로운 공격의 징후를 포착하고 해석할 방법을 파악해야만 한다.

GReAT 연구진은 이 유형의 공격에 대한 심층 분석을 통해 수동적 공격과 능동적 공격이라는 두 가지 주요 접근법을 확인했다. 수동적 공격은 다른 해킹 조직에서 전송 중인 데이터를 가로채는 방식이다. 예를 들어 피해자와 C&C(명령 및 제어) 서버 사이에 데이터가 이동할 때를 노려 가로채는 것이다. 이 경우에는 탐지가 거의 불가능하다. 능동적 공격 방식은 다른 해킹 조직의 악성 코드 인프라에 침투하는 방식이다.

능동적 공격 방식을 취하는 해킹 조직은 탐지될 위험이 커지지만 그만큼 이득도 크다. 정기적으로 정보를 손에 넣어 다른 해킹 조직과 그 피해자를 모니터링 할 수 있고, 심지어 자체 악성 프로그램을 삽입하거나 피해자의 이름으로 공격을 개시할 수도 있다. 능동적 공격의 성공 여부는 대개 공격 대상이 운영 보안과 관련된 실수를 저지르는지에 따라 달라진다.

GReAT는 특정 해킹 조직을 조사하던 중 예상치 못한 이상한 정보를 다수 접하게 되었다. 이를 통해 능동적 공격은 이미 실제로 진행되고 있다는 사실을 알 수 있었다.

그러한 사례는 다음과 같다.

◇다른 조직의 C&C 인프라에 백도어 설치

해킹한 네트워크에 백도어 프로그램을 설치하면 다른 해킹 조직의 작업 내에 계속 머무를 수 있다. 카스퍼스키랩 연구진은 그러한 백도어 프로그램의 실제 사례로 보이는 사건을 두 가지 발견했다.

하나는 2013년 NetTraveler가 사용한 서버를 분석하던 중 발견된 것으로, 아시아의 정치사회 운동가 및 다양한 조직을 대상으로 하는 중국어 기반의 공격이었다. 또 하나는 2014년 Crouching Yeti(Energetic Bear라고도 함)가 사용한 웹사이트를 분석하던 중 발견되었으며, 러시아어 기반의 해킹 조직이 2010년부터 산업 부문을 대상으로 공격을 펼쳐온 사실이 눈에 띄었다. 연구진은 C&C 네트워크 관리 패널이 잠깐 동안 중국의 원격 IP를 나타내는 태그(가짜 플래그일 가능성이 높음)로 수정되었다는 사실을 확인했다. 연구진은 이것이 다른 조직 소유의 백도어 프로그램이라고 보고 있지만, 그 조직의 정체에 대해 알 수 있는 지표는 전혀 없다.

◇해킹한 웹사이트의 공유

2016년 카스퍼스키랩 연구진은 한국어 기반 DarkHotel의 공격으로 손상된 웹사이트가 다른 표적형 공격 조직의 익스플로잇 스크립트를 호스팅한 사실을 발견했다. 다른 공격 조직의 정체는 ScarCruft라고 불리며 러시아, 중국. 한국의 여러 기업 및 단체를 공격 대상으로 삼는 해킹 조직이었다. DarkHotel의 활동은 2016년 4월부터이지만 ScarCruft의 공격은 그로부터 한 달 후 수행된 것으로 보아, ScarCruft가 자체 공격을 시작하기 전에 DarkHotel의 공격을 관찰하고 있었을 가능성이 있다.

◇프록시를 이용한 공격 대상 선정

해커가 특정 지역 또는 산업 부문에 확고히 자리잡은 다른 해킹 조직에 침투하면 해당 조직의 전문 지식을 활용하여 비용을 절감하면서 표적형 공격을 보다 효율적으로 이행할 수 있다.

그래서 일부 해킹 조직의 경우 피해자 정보를 훔치지 않고 공유한다. 위험한 접근 방식이기는 하다. 해킹 대상으로 삼은 조직 중 하나가 고급 기술이 부족하여 발각되면 뒤이은 포렌식 분석을 피할 수 없고 이를 통해 다른 침입자의 정체도 드러나기 때문이다. 2014년 카스퍼스키랩의 보고에 따르면 Magnet of Threats 라는 중동 소재의 연구 기관이 보유한 서버의 경우, 매우 정교한 수법의 해킹 조직 Regin 및 Equation Group(영어 기반), Turla 및 ItaDuke(러시아어 기반), Animal Farm(프랑스어 기반), Careto(스페인어 기반)에서 심어놓은 프로그램을 동시에 호스팅하고 있었다. 사실상 이 서버를 출발점으로 하여 Equation Group을 찾아낼 수 있었다.

카스퍼스키랩코리아 이창훈 지사장은 “최근의 해킹 공격은 단서가 거의 없고 조작도 쉽기 때문에 여건이 좋아도 원인을 밝혀내기 어려운데 이제는 해킹 조직이 서로 해킹하며 발생한 영향까지 고려해야 하는 상황이다. 점점 더 많은 해킹 조직이 서로의 툴킷과 피해자, 인프라를 활용하기도 하고 자체 프로그램을 삽입하거나 피해자의 ID를 사용해 추가 공격을 개시하기도 한다”며 “정확한 진상을 분명하게 파악하려는 해킹 추적팀이 어떤 힘든 상황이다. 우리가 발견한 사례를 살펴보면 일부 공격이 이미 실제로 진행되고 있으므로 위협 인텔리전스 연구진은 잠시 여유를 갖고 고급 해킹 조직의 작업 분석에 대해 사고방식을 조금 바꿔볼 필요가 있다”고 말했다.

카스퍼스키랩은 위협 환경의 급속한 변화에 뒤처지지 않도록 첨단 위협 인텔리전스와 결합한 완전한 보안 플랫폼을 구현할 것을 기업들에게 권고하고 있다.

최근 카스퍼스키랩 사이버 공격자 분석 리포트는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★