데일리시큐가 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2023에서 최상명 NSHC 이사는 ‘정보 유출 위협과 인텔리전스’를 주제로 강연을 진행해 큰 관심을 끌었다. 

최상명 이사는 이날 강연을 통해 NSHC ‘다크트레이서(DarkTracer) 플랫폼’을 활용해 사이버 위협 조직을 추적하고 피해를 예방할 수 있는 방법에 대해 상세히 소개하는 시간을 가졌다. 

최 이사는 다크트레이서를 활용해 LG유플러스 3천만개 고객계정을 탈취했다고 주장한 해커들의 텔레그램 및 해커포럼 활동 정보 및 한국 공공기관을 해킹하겠다며 사이버공격을 선포한 샤오치잉 조직의 활동 내용을 공개했다. 

더불어 이들 해킹 조직 이름과 한국 관련 정보유출을 어떻게 상세하게 모니터링하고 확인할 수 있는지도 실시간 데모를 통해 보여줬다. 

다크트레이서에 LG유플러스와 관련된 해킹조직 ‘rxdancer751’와 한국을 사이버공격하겠다는 ‘샤오치잉’을 입력하면 이들의 조직 계보와 전체 해킹 히스토리 그리고 어떤 공격으로 언제, 어떤 데이터들을 탈취했고 이를 가지고 어떤 행위들을 했는지 다크웹과 딥웹에 공개된 모든 정보를 실시간으로 확인할 수 있었다. 언론에 공개된 내용보다는 더욱 심각하다는 것을 알 수 있다. 사전에 이런 인텔리전스 정보를 모니터링하고 입수했다면 더 빠른 위협 대응이 가능할 수 있는 것이다. 

최 이사는 “해커들은 계정정보를 탈취해 초기 침투에 활용해 데이터베이스 탈취까지 이루어낸다. 그리고 다른 해커들과 공유하기도 하고 판매하기도 한다”며 “다크트레이서를 활용해 확인해 본 결과, 스틸러 악성코드를 활용해 9억개의 계정정보가 다크웹에 노출되고 있다는 것을 확인했고 한국 계정도 600만개에 달한다. 매년 2배 정도 유출 정보가 증가하고 있는 추세다”라고 강조했다. 

한편 해커를 추적하는 방법에 대해서도 정보를 공유했다. 

최 이사는 다크트레이서 위치 기반 인텔리전스 기능을 통해 다크웹에 유출된 이미지 정보로 유출된 데이터가 어디서 유출이 됐고 공격자 정보와 어떤 공격으로 해킹을 당했는지, 어떤 정보들이 유출됐는지 까지 추적할 수 있다고 말했다. 

그는 현장 데모를 통해, 다크웹에 올라온 유출 데이터 중 특정 이미지에서 GPS 정보를 파악하고 이를 통해 위치 파악과 어떤 공격으로 어떤 정보들이 어떤 공격자에 이해 유출됐는지 추적할 수 있다는 것을 보여줘 눈길을 끌었다. 

또 다크트레이서를 통해 해커를 역으로 해킹해서 추적하는 방법도 공개했다. 

예를들면, 북한 해커가 사용하는 아이디를 활용해 이들이 사용하는 이메일 주소와 패스워드를 알 수 있고 이들의 활동 내용들을 모두 파악하면서 실제 해커가 누구인지 특정할 수 있다는 것까지 보여줬다. 다크트레이서를 통해 사이버공격자를 추적하고 특정할 수 있다는 것이다. 

최상명 이사의 K-CTI 2023 강연내용 영상은 민감한 내용들로 인해 비공개 요청이 있어 업로드되지 않았으며 발표자료도 공개가 어려운 상황이다. 보다 상세한 다크트레이서 활용에 대해 알고 싶다면 NSHC로 문의하면 된다. 

★정보보안 대표 미디어 데일리시큐!