[박춘식 교수의 보안이야기] 트렌드마이크로는 2012년 3월 30일, 'Luckycat'이라고 불리는 일련의 공격을 조사한 리서치 리포트를 공개했다. 이 공격에 관해서는 4월 시만텍에 의해 처음으로 정보가 공개되었으나, 트렌드마이크로의 독자적인 조사를 통해 이 공격의 상세 내용뿐만 아니라 표적형 공격(APT)이 어떻게 이루어지고 있는 것인가를 분명히 확인할 수 있었다. 이번 조사에서 밝혀진 사실은 다음과 같다.
 
◇표적형 공격(APT)은 일련의 작전활동으로서 이루어지고 있다
'표적형 공격'을 이해하기 위해서는 이 공격 자체가 '작전활동(캠페인)'이라는 점을 이해할 필요가 있다. 표적형 공격 메일을 통해 이루어지는 각각의 공격은 작전활동 전체의 일부분일 뿐이다. 이러한 조사수법을 통해 Luckycat과 같은 일련의 표적형 공격에 대해 훨씬 유익한 정보를 만들어낼 수 있다. '공격을 작전활동으로서 파악하는 사고방식' 및 '작전활동 자체에 대한 추적조사'는 사용자와 네트워크를 보호할 때 실용성 있는 '위협정보(threat intelligence)'를 만들어내기 위해서 반드시 필요하다.
 
◇지금까지 생각했던 것 이상으로 다방면에 걸친 표적을 공격 대상으로
공격자는 시만텍이 밝힌바 있는 인도의 군사연구시설을 표적으로 하고 있었던 것뿐만 아니라 인도의 다른 중요기관이나 티벳인 활동가, 그리고 일본도 표적으로 하고 있었던 것으로 밝혀졌다. 또한 공격자는 공격기반으로서 일회용 무료 호스팅 서비스부터 전용 가상 프라이빗 서버(VPS)와 같은 다방면에 걸친 인프라를 이용하고 있는 것으로 밝혀졌다.
 
◇Lucycat은 다른 표적형 공격 캠페인에도 관련
Luckycat 배후의 공격자는 2010년 4월에 확인되어 여전히 활동을 계속하고 있는 'Shadow Network' 등 다른 표적형 공격과도 관련된 멀웨어 공격과 동일한 인프라를 이용 혹은 제공하고 있는 것으로 밝혀졌다. 또 설치한 백도어를 이용해 다른 멀웨어를 보내주어 이용하고 있는 것도 밝혀졌다. 그리고 Luckycat 캠페인 속에서 90개나 되는 공격이 이루어지고 있는 것도 밝혀졌다.
 
◇세심한 감시로 공격자의 실수를 이용해 그 정체와 능력 일부분 밝혀져
존재를 속이기 위해 익명화 기술을 이용하고 있는 것 등 트렌드마이크로는 공격자의 오퍼레이션 능력의 일부분을 파악할 수 있었다. 또한 공격자가 사용하고 있었던 중국에서 인기있는 인스턴트 메신저 'QQ'의 어드레스를 통해 중국에서 잘 알려진 해커포럼 'Xfocus' 및 중국에 거점을 두는 'Security Institute of Sichuan University' 등의 정보보안 관련 기관까지 추적 조사했다(2012.03.30)
 
<관련보고서>
-kr.trendmicro.com/kr/support/
[박춘식 서울여자대학교 정보보호학과 교수]