이명수 안랩 팀장 “왜 라자루스지?...새로운 TA명명법 사용하고 CTI 강화”(영상)

“안랩, 절지동물 이름으로 TA 명명…위협 정보 검증 위원회 설치해 CTI 전문 기업으로 발돋움”

“공격자(TA)를 식별하고 그들의 전략을 이해하는 것은 최근 보안에서 매우 중요하다. TA를 식별하고 명명하기 위한 업계 기준은 없지만 CTI 업체마다 각자의 공격그룹 분류 체계와 명명법, 관리 프로세스를 갖추고 있다. 하지만 자체적인 분류 체계 없이 다른 업체에서 발표한 TA명을 따라하는 것은 잘못된 정보를 생산할 수 있기 때문에, 안랩도 CTI 업체로서 명확한 기준을 가지고 위협을 분류하고 TA를 새롭게 명명할 계획이다. 그래서 안랩은 절지동물의 이름으로 TA를 명명하기로 했다.”

데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 안랩 A-FIRST 이명수 팀장은 “CTI 값진 위협 정보를 제공하다’를 주제로 강연을 진행했다.

이명수 팀장은 이 자리에서 각 CTI 기업들이 위협 관리 및 TA 명명법을 소개하고 향후 안랩의 새로운 위협 관리 및 TA 명명법에 대해 소개하는 시간을 가졌다.

그는 TA 피라미드를 설명하며 초보적인 스크립트 키드나 테크니컬 스토커들의 공격은 보안기업들이 잘 막아 내고 있지만 기술 난이도가 높고 국가 배후 공격그룹들의 공격을 막기란 쉽지 않다. 이들의 공격을 막기 위해서는 공격자가 바꾸기 어려운 TTP 정보까지 파악해야 한다. 그러기 위해서는 공격자(TA)를 명명하는 방식이 필요하다. CTI 기업들은 모두 제가각의 명명법과 관리 프로세스를 갖추고 있다”고 설명했다.

◆기업별 TA 관리 프로세스

마이터어텍(MITRE ATT&CK)은 TA를 그룹으로 명명하고 공개된 TA 관련 보고서들을 종합해 그룹을 관리한다. 143개 그룹 정보를 제공하고 있다.

멀피디아(Malpedia)는 TA를 액터로 부르고 556개 액터가 있다.

맨디언트(Mandiant)는 공격 특징을 군집화하고 그 행동 주체를 일련번호(UNC)로 지칭한다. 동기, 기술적 특징, 악성코드, 취약점, 인프라, 타깃, 활동 기간 별로 구분하는 방식이다. 2014년 APT1 발표후 현재까지 FIN13, APT43까지 공개됐다.

마이크로소프트는 기존 TA 명명법을 변경해, 고객이 위협을 빠르고 명확하게 이해할 수 있도록 날씨 테마로 TA를 명명한다. 예를 들어 새로운 위협 활동 클러스터는 ‘Storm + 4자리 숫자’로 표현한다.

레코디드퓨처(Recorded Future)는 국가배후, 사이버범죄, 핵티비스트, 신종 악성코드 중심으로 TA를 분류한다. 국가별 생상으로 구분하고 다이아몬드 모델로 TA로 분류하고 있다. 악성코드, C2, 탐지 로그 외에도 다각도의 위협 행위 정보를 저장해서 충분히 교집합을 찾고, 이를 지속적으로 업데이트하고 있다.

카스퍼스키(Kaspersky)는 국가 배후 공격이라고 표현하기 보다는 해당 국가 언어를 사용하는 그룹으로 표현하고 있으며 크라우드스트라이크(CrowdStrike)는 공격 목적 또는 배후 국가를 동물로 연결지어 명명한다. 중국은 판다, 러이사는 베어 등으로 표현한다.

NSHC는 센터별로 명명법을 사용하고 있으며 a센터는 북한, b는 중국, c는 러시아, d는 이란 등으로 구분한다.

안랩은 그 전까지 다른 기업과 구분되는 명명법이 없었다. 그래서 다른 기업들이 만든 TA를 사용해 왔다. 현재 222개의 액터가 있다.

이명수 팀장은 “TA를 특정하는 일은 쉬운 문제가 아니다. TA를 구분할 때 사용할 수 있는 정보 체계들이 너무 다양하기 때문이다. 단편적인 TA 활동만 보고 명명하기란 어려운 부분이 있다. 라자루스도 10년 전과 비교하면 조직원도 바뀌었을 것이고 공격방법도 변화했기 때문에 특정하기가 어려운 부분이 있고 국가 배후 공격 집단들도 마찬가지다. 기관 수준의 정보가 있지 않는 한 국가별 공격 그룹을 구분하기란 쉽지 않다”며 “안랩도 분석가들과 백신에서 나오는 다양한 정보들을 통합해 TIMS라는 이름으로 위협 정보를 관리하고 있다. 휴민트, 외부 보고서, 악성코드 분석보고서, 침해사고 분석보고서, 관제, 고객문의 등 모든 정보를 통합해 안랩의 A-FIRST팀, 분석팀, 모바일분석팀, 대응팀, 서트팀 모두의 종합 의견을 반영해 관리하고 있다. 이 통합된 TI 정보가 안랩의 서비스와 제품에 반영되고 있다. 의도된 공격의 경우 오퍼레이션 단위로 관리하고 오퍼레이션들을 모아 캠페인이라는 단위로 관리하고 있다. 라자루스 공격이 캠페인에 해당된다”고 설명했다.

◆안랩, TA를 개미, 벌레, 벌, 메뚜기 등 절지동물 이름으로 명명

이어 안랩이 향후 사용할 TA 명명법에 대해 “TA 이름 자체가 공격 그룹에 대한 특징을 바로 연상시켰으면 한다. 그리고 공격의 뒤에는 살아있는 사람이 있기 때문에 살아 움직이는 이름, 또 TA는 범죄자이기 때문에 멋있게 지을 수는 없다. 더불어 공격기법과 하부 조직에 따라 수십개 조직이 있을 수 있기 때문에 많은 이름들이 필요하다”며 “그래서 안랩은 절지동물 이름으로 TA를 명명하기로 했다. TA 이름을 갖기에 정보가 부족한 경우 안랩은 언네임드 TA를 애벌레라는 의미의 라바(Larva) 일련번호로 관리한다. 또 공격 주체 정보가 확보된 TA에는 절지동물 이름을 부여한다. 예를 들어 ‘TA-Ant’로 표기하는 식이다. 라자루스 같이 잘 알려진 그룹의 이름은 안랩 TA와 함께 괄호로 같이 표기키로 했다. 그리고 각 국가 배후 해킹 그룹들은 해당 지역에 맞는 절지동물 이름을 부여해 사용할 것이다. 개미, 잠자리, 벌레, 벌, 메뚜기, 전갈 종류들이 영문으로 사용된다”고 설명했다.

안랩은 내부의 시니어 분석가들을 모아 위협 정보 검정위원회를 운영하고 있으며 위원회를 통해 인시던트, 오퍼레이션, 캠페인으로 등급을 올리거나 TA를 명명하는데 보다 명확하게 결정할 수 있도록 체계를 구축했다.

이 팀장은 “그동안 타사에서 명명한 이름으로 위협 행위자들을 분석하면서 맞지 않는 부분도 있었고 그 기준도 모호해 분석에 혼란스러운 부분이 있었다. 그래서 안랩의 위협 관리 프로세스에 맞게 TA를 명명하고 공격자를 정확히 식별해 정보를 제공하기 위해 TA 명명 기준을 마련했다”며 “안랩은 이제 TI 서비스를 더욱 전문적으로 제공할 예정이다. 그 기반이 될 수 있도록 TA 명명 기준을 마련했다. 공격자를 식별하고 그들의 전략을 이해하는 것은 최근 보안에 있어 매우 중요한 부분이다”라고 강조했다.

이명수 안랩 팀장의 K-CTI 2024 강연 내용은 아래 영상을 통해 더욱 상세히 확인할 수 있다.