2024-03-19 19:40 (화)
[K-ISI 2018] 해커 추적자...문종현 이사 "우리는 지금 보이지 않는 적과의 동침중"
상태바
[K-ISI 2018] 해커 추적자...문종현 이사 "우리는 지금 보이지 않는 적과의 동침중"
  • 길민권 기자
  • 승인 2018.09.19 15:25
이 기사를 공유합니다

"믿고 싶지 않아도 공격의 실체는 현존...정체도 파악돼...인텔리전스 정보 공유 중요"

▲ 문종현 이스트시큐리티 이사. 데일리시큐 주최 K-ISI 2018에서 정부지원 추정 해커조직을 추적하는 자신만의 방식에 대해 설명하고 있다.
▲ 문종현 이스트시큐리티 이사. 데일리시큐 주최 K-ISI 2018에서 정부지원 추정 해커조직을 추적하는 자신만의 방식에 대해 설명하고 있다.
"잘 믿질 않는다. 하지만 우리는 실제 공격을 받고 있고 그 실체도 존재하고 있다. 실제 존재하는 위협이다. 우리는 지금 보이지 않는 적과의 동침을 하고 있다는 것을 알아야 한다. 그들은 2000년 초반부터 국가 차원에서 사이버군대와 무기를 개발하고 있다. 공격자들은 계속해서 새로운 공격기술과 무기를 만들고 있다. 제로데이 공격은 아무리 좋은 보안솔루션으로도 막기 힘들다. 하지만 사람은 이를 막을 수 있다. 인텔리전스는 바로 정보공유다. 공격자들을 연구하는 전문가들간 정보공유가 활발히 이루어져야 한다. 민, 관, 군이 협력해야 한다. 공격자들은 정부, 군, 기업, 일반인까지 가리지 않고 공격하고 있다. 우리끼리 각개전투를 하면 그들을 막을 수 없다. 모든 분야에서 공유하고 뭉쳐야 대응이 가능하다." -문종현 이스트시큐리티 이사 (데일리시큐 주최 K-ISI 2018에서)-

사이버위협 정보 공유를 위해 개최된 데일리시큐 주최 대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2018에서 문종현 이스트시큐리티 이사는 '정부지원 추정 해커의 APT 공격 사례 연구'를 주제로 강연을 진행해 큰 관심을 끌었다. 그는 국내 몇 되지 않는 사이버위협 인텔리전스 전문가 중 한 명이다.

문종현 이사는 이날 자신이 오랜 기간 추적해 온 특정 정부가 지원하는 해커의 공격 방식과 특징에 대해 상세히 설명해 나갔다. 재미있는 첩보영화를 보고 있는 착각이 들 정도로 문이사의 공격자 추적방식은 흥미로웠고 악성코드 계열분류 위주에서 벗어나 새로움을 더하는 자리였다.

최근 미국은 북한 해커의 실명과 나이를 공개하며 해커그룹의 조직원인 그를 기소한 바 있다. 어떻게 공격자를 특정해 기소할 수 있었을까. 한국은 아직 사이버테러를 당해도 특정 공격자를 지목해 수배한 적은 없다. 그만큼 공격자를 특정 짖기는 힘든 사안이다.

문종현 이사는 전세계적으로 수십억 명이 사용하는 페이스북에서 활동하는 특정인을 추적하기 시작했다. 그의 얼굴 이미지와 배경화면, 활동사항, 친구들, 그룹결성 등 SNS에서 그들의 활동을 디테일하게 추적해 나갔다.

▲ K-ISI 2018에서 국내 보안실무자들에게 해커 추적 방법에 대해 강연을 진행하고 있는 문종현 이사.
▲ K-ISI 2018에서 국내 보안실무자들에게 해커 추적 방법에 대해 강연을 진행하고 있는 문종현 이사.
그는 K-ISI 2018 현장에서 정부지원을 받는 해킹조직원들이 어떻게 페이스북 활동을 하고 있고 국내나 해외에 거주하고 있는 탈북자나 군 관련 기관 관계자 등에 접근해 악성코드를 유포하는지 직접 보여줬다.

문 이사는 "그들은 페이스북을 통해 타깃에 접근하고 그룹을 만들어 특정 정보들을 공유하는 척하면서 이후 타깃들에게 악성앱이나 악성문서를 보내 감염시키고 스마트폰이나 PC를 장악하고 있다"고 설명했다.

그는 공격자들의 무심코 혹은 실수로 사용하는 언어에 초점을 맞추고 있다. 한국식 맞춤법이 아닌 그들만이 사용하는 단어와 맞춤법을 페이스북이나 카카오톡 메신저 내용 그리고 작성된 문서를 통해 보여주고 그들이 어떤 정부가 지원하는 조직인지 추적해 나갔다.

문 이사는 "그들이 타깃에 보낸 안드로이드 악성앱이나 악성문서를 사용하고 열어보는 순간 폰과 PC는 해커에게 장악된다. 모든 정보를 빼내갈 수 있고 감시할 수 있다. 페이스북 뿐만 아니라 한국인 대부분이 사용하고 있는 카카오톡으로도 이런 공격들을 계속해서 해 오고 있다. 특히 휴대폰을 장악하기 위해 삼성스마트폰을 연구하고 있고 스피어피싱을 통해 관심을 끌만한 문서와 영상을 보내 악성코드 감염을 유도하고 있다. 페이스북에서 활동하는 그들이 유포하고 있는 악성코드를 분석해 보면 거의 같은 악성코드들이다"라고 말했다.

▲ 문종현 이사 K-ISI 2018 발표자료중.
▲ 문종현 이사 K-ISI 2018 발표자료중.
정치적 이슈나 심지어 배우자의 외도 장면이 담긴 영상처럼 위장하거나 연봉현황을 알 수 있는 문서, 평창올림픽 관련 문서 등 관심을 끌만한 파일들을 첨부해 악성코드 감염을 유도하고 있다는 것이다. 그들은 한국 방산업체나 외교기관, 북한관련 단체나 개인, 민간기업 그리고 최근엔 가상화폐거래소 등을 집중적으로 공격해 오고 있다. 문 이사에 따르면, 국방부 해킹, ATM기 해킹, 국회의원 사칭 해킹, 국내 민간기업 해킹 등에서 동일한 공격기법으로 공격을 진행하고 있다. 현재도 진행중이다.

문 이사는 "정치적으로는 평화 분위기가 조성되고 있지만 사이버공격은 계속될 것이라고 생각한다. 지난번에도 그랬기 때문이다. 그들은 새로운 공격방법을 개발해 내고 있으며 제로데이나 메일을 열기만해도 감염되는 방식의 공격 등 한글 문서 뿐만 아니라 워드문서를 활용해서도 전방위적으로 공격을 진행하고 있다. 다양한 분석회피 방식도 개발해 사용하고 있다. 그들의 은밀한 공격을 탐지하고 대응하기 위해서는 각분야 전문가들의 인텔리전스 정보를 공유하고 공동대응 해야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★