2024-03-28 22:00 (목)
[K-ISI 2018] 박성수 카스퍼스키랩 책임 "오픈소스 활용한 사이버공격 계속 될 것"
상태바
[K-ISI 2018] 박성수 카스퍼스키랩 책임 "오픈소스 활용한 사이버공격 계속 될 것"
  • 길민권 기자
  • 승인 2018.09.19 18:02
이 기사를 공유합니다

"TTP 기반으로 방어정책 세우는 것이 가장 현실적 대안 될 수 있다"

▲ 박성수 카스퍼스키랩 책임이 K-ISI 2018에서 평창동계올림픽을 사이버공격한 APT 그룹에 대해 분석 내용을 공유하고 있다.
▲ 박성수 카스퍼스키랩 책임이 K-ISI 2018에서 평창동계올림픽을 사이버공격한 APT 그룹에 대해 분석 내용을 공유하고 있다.
지난 2월 한국에서 개최된 평창동계올림픽에서도 사이버공격이 발생했다. 카스퍼스키랩은 '하데스'라는 공격그룹이 올림픽 공격 미션을 성공하기 위해  '올림픽디스트로이어(OlympicDestroyer)'라는 공격을 감행한 것을 밝혀냈다.  

데일리시큐 주최 사이버위협 정보 공유 컨퍼런스 K-ISI 2018에서 카스퍼스키랩 박성수 책임은 "Hell of attribution: OlympicDestroyer is here to trick the industry"라는 주제로 평창동계올림픽에서 사이버공격을 감행한 공격그룹을 분석한 내용을 공개했다.

박성수 책임은 이날 OlympicDestroyer의 악성코드와 공격그룹의 특징과 최근 그들의 활동을 중심으로 강연을 진행했다. 그는 카스퍼스키랩 인텔리전스 전문조직인 GReAT팀에서 사이버 위협 인텔리전스 분석업무를 담당하고 있으며 전세계 다양한 공격조직들의 공격기법과 특징을 분석하고 있는 전문가다.

▲ 박성수 책임 K-ISI 2018 발표자료 중
▲ 박성수 책임 K-ISI 2018 발표자료 중
우선 이번 평창올림픽에서 OlympicDestroyer에 의해 입은 피해는 50개 서버가 침해사고를 당했고 300여 개 서버가 공격의 영향을 받았다. 와이파이와 IPTV, 이메일 시스템이 작동하지 않았고 52개 서비스가 가동되지 않았다. 하지만 조직위원회에서 신속히 대응을 해 경기시작 전에 정상적으로 복구가 이루어졌다. 박성수 책임도 잘 대응한 케이스라고 평가했다.

박 책임에 따르면, 당시 사용됐던 악성코드는 내부 네트워크를 타고 자동으로 전파되는 기능을 가졌으며 인터넷에 저장된 계정과 윈도우 계정을 탈취하는 행위 그리고 디스크 파괴 기능을 가진 악성코드였다. 하지만 탈취한 계정을 저장만 했을 뿐 사용하거나 외부로 전송하진 않았다.

악성코드 전파과정을 보면, 워너크라이와 같은 경우 실행되면 불특정 다수의 IP로 전파되지만 이번 평창올림픽 악성코드는 다행히(?) 내부 네트워크 안에서만 전파되는 특징을 가져 특정 기업이나 기관만을 타깃으로 했다고 볼 수 있다. 또 이번 악성코드는 늘 그렇듯 자신의 흔적을 삭제했다.

디스크 파괴 기능의 특징으로는 백업본을 지우고 윈도우 백업을 차단한다. 자동복구를 못하게 하기 위해서다. 또 시큐리티 시스템도 차단시켰다. 모든 윈도우 시스템이 비활성화되는 것이다. 하지만 리모트로 연결된 PC에서만 작동했을 뿐 호스트서버 전체에 연결된 PC를 손상시키지는 않았다. 이를 두고 박 책임은 정말로 큰 타격을 줄 생각은 없었던 것으로 보고 있다. 공격자가 마음만 먹으면 복구 불능 상태로 만들 수 있었다는 의미라고 해석할 수 있다.

▲ 박성수 책임 K-ISI 2018 발표현장
▲ 박성수 책임 K-ISI 2018 발표현장
박 책임은 이번 공격을 "유기적으로 잘 맞물려 돌아갈 수 있게 준비한 체계적인 공격이었다"고 평가했다.

그는 악성코드에 하드코딩된 계정 정보를 분석해 공격이 어디서부터 시작됐는지 확인했다고 한다. 공격순서의 흔적이 남은 것이다.

우선 평창동계올림픽 위원회와 올림픽을 지원하는 A사에서 내부감염이 이루어졌다. 이후 선수들이 사용하는 리조트와 호텔 등이 같은 공격을 받았다. 여러 포털서비스도 공격을 받았다. 다행이 내부 서버에서만 전파된 악성코드라 복구도 가능했고 피해도 크지 않았다.

카스퍼스키랩 박성수 책임은 공격그룹 분류를 두고 고민했다고 한다. 여러 분석가들의 의견이 분분했다. 랜섬웨어다 혹은 라자루스다 등등. 라자루스(Lazarus) 그룹의 특징이 공격하고 흔적을 지우고 빠져나갈 때 흔적을 지우는 특징이 있기 때문이다. 그러면서도 블루노로프(Bluenoroff) 계열과도 코드가 유사해 보였다. 하지만 블루노로프는 금전적 이득을 위해 공격하는 그룹이었다. 하지만 여러가지 가능성을 두고 분석을 계속했다.

박 책임은 분석 과정에서 리치헤더(RICH header)를 우연히 발견하게 됐다. 리치해더를 이용해 바이너리 공격 연구도 해커들 사이에서 많이 이루어지고 있던 기간이었다. 분석결과 같은 기간에 같은 공격자가 만든 리치해더와 같다는 확인했다. OlympicDestroyer 리치해더를 추출해 연구한 결과 블루노로프 계열의 악성코드에서 리치해더가 일치한다는 것을 확인했다.

▲ 박성수 책임 K-ISI 2018 발표자료중 하데스 공격그룹 관련 자료.
▲ 박성수 책임 K-ISI 2018 발표자료중 하데스 공격그룹 관련 자료.
카스퍼스키랩은 이 공격그룹을 '하데스(Hades)' APT 공격그룹으로 부르고 있으며 이들이 올림픽디스트로이어 배후 그룹으로 확정했다. 하데스 그룹은 스피어피싱 메일을 활용해 전세계 광범위한 공격을 진행하고 있는 사이버 공격그룹이다.

박 책임은 "하데스 그룹의 TTP(Tactics, Techniques, Procedures)를 분석한 결과, 이번 올림픽에서 공격 타깃을 정하고 악성 매크로를 사용해 스피어피싱으로 공격한다. 대상이 감염되면 파워쉘을 이용해 정보를 수집하고 내부 전파를 했다. 이 미션을 성공시키기 위해 사용한 것이 바로 올림픽디스트로이다"라며 "하데스가 뿌린 스피어피싱 메일은 올림픽 관력 기관, 반도체 기업, 미디어, 관공서 등 일관성이 없다. 특히 올림픽 파트너 업체들과 강원도 지역 병원도 공격을 당했다. 실수로 해외 기업에 보낸 것도 확인됐다. 전달된 메일과 악성코드는 모두 동일한 것들이었다"고 설명했다.

이어 그는 "하데스는 공격에 오픈소스를 잘 사용했다. 악성문서를 만들 때 매크로 툴을 사용했고 파워쉘도 난독화해 사용했다. 사용된 툴이 모두 해커 커뮤니티에서 누구나 구할 수 있는 툴들이다. 즉 검증된 오픈소스 툴을 조합해 공격을 진행한 것이다. 이렇게 되면 어떤 그룹의 공격인지 특정 짖기가 힘들어진다. 공격자는 이를 노린 것이다. 앞으로 이런 형태의 공격이 계속 될 전망이다"라고 덧붙였다.

마지막으로 그는 "이번 올림픽을 공격한 하데스의 기술은 뛰어나다고 평가할 수 있다. 이번 공격에서도 큰 타격을 줄 수 있었지만 일정 선에서 공격을 마무리했다. 작정하고 공격했다면 어떻게 될지 모를 정도다. 내가 이 정도니 주목해라라는 메시지만 던진 정도라고 생각하면 된다"라며 "TTP를 기반으로 위협 인텔리전스를 활용해 대응하는 것은 가장 효과적이다. 이번 올림픽 공격과 같은 경우도 파워쉘만 잘 막으면 되는 것이다. TTP 기반으로 방어정책을 세우는 것이 가장 현실적 대안이 될 수 있다"고 강조했다.

박성수 카스퍼스키랩 책임의 K-ISI 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

카스퍼스키랩, 사이버 위협에 깊이 있는 전문 지식과 이해도 갖춘 세계적 보안기업

▲ K-ISI 2018에서 카스퍼스키랩 코리아가 자사 위협 인텔리전스 관련 솔루션들을 소개하고 있다.
▲ K-ISI 2018에서 카스퍼스키랩 코리아가 자사 위협 인텔리전스 관련 솔루션들을 소개하고 있다.
한편 카스퍼스키랩(한국지사장 이창훈)은 1997년 설립되었으며 현재 31개국에 35개 지사를 두고 200개국가와 지역에서 사업을 운영 중인 글로벌 사이버 보안 전문 회사다. 전 세계적으로 발생하는 사이버 위협에 대한 깊이 있는 전문 지식과 이해도를 갖추고 있으며 위협 탐지와 그 치료/예방에 있어 빠른 대응과 우수성, 회사의 혁신성 등을 다양한 독립 기관의 평가를 통해 입증 받고 있다.

다계층 보호 기술과 여러 부가 기능을 제공하는 엔드포인트 보호 솔루션을 주력으로 하고 있으며 임베디드, 익스체인지, 가상화, 스토리지, APT, EDR, 클라우드용 등 다양한 특수 분야 전용 보안 솔루션으로그 판매 포트폴리오를 넓혀나가고 있다. 더불어 지난 20여년 이상 축적한 방대한 노하우와 전문 지식을 기반으로 한 인텔리전스 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있다.

현재 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있으며 전 세계적으로 카스퍼스키랩의 보안 기술을 통해 보호를 받는 사용자 수는 4억 명 이상, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있다.

카스퍼스키랩은 이번 K-ISI 2018에서 아래 3개 솔루션을 선보였다.

◇APT 및 금융 위협 인텔리전스 리포팅 서비스

전 세계에서 발견된 모든APT 위협이 즉시 보고되는 것은 아니며 영원히 공개되지 않는 경우도 많다. 카스퍼스키랩의 심층적이고 발빠른 ‘APT 인텔리전스리포팅’을 통해 누구보다 먼저 관련 정보를 습득하고 예상 가능한 공격에 미리 대응할 수 있다

회사 측은 위협 인텔리전스리포팅의 이점에 대해 "일반 대중에게 공개되지 않은 최신APT 위협에 대한 동향과 기술자료를 미리 확보할 수 있다. 그리고 세부적인 기술데이터, IOC(침해 지표 목록) 및 Yara Rule를 제공해 미리 예상 가능한 공격에 대비할 수 있다"고 설명했다.

◇Data Feeds 서비스

카스퍼스키랩의 위협 데이터 피드는 고객의 SIEM 시스템과 통합할 수 있게 구성되었으며 이를 활용해 최신 위협(예, 악성 코드 감염 웹사이트접속 시도)이 고객사의 네트워크에 존재하는지를 SIEM 로그의 상관관계를 분석해 확인할 수 있도록 해 기업 내 위협 완화 전략에 도움을 준다.

◇Kaspersky Threat Lookup

Kaspersky Threat Lookup은 사이버 위협 및 그 상관 관계에 관해 카스퍼스키랩이 축적한 방대한 지식을 하나의 웹사이트 포털로 통합하여 전달한다. 이 서비스의 목표는 고객사의 보안 팀에게 가능한 한 많은 데이터를 제공하여 공격이 조직에 침투하는 것을 미연에 방지하게 하고 존재하는 위협이 있다면 빠르게 완화 조치를 취할 수 있게 하는 것이다.

이 플랫폼을 통해 URL, 도메인, IP 주소, 파일 해시, 위협 이름, 통계/동작 데이터, WHOIS/DNS 데이터 등 최신 위협이 상세하게 정리되어 있는 인텔리전스를 검색할 수 있다. 그 결과 전 세계적으로 새롭게 출현하는 위협을 파악할 수 있어 조직의 보안을 강화하고 침해사건 대응 역량을 높이는 데 효과적이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★