2024-03-19 15:05 (화)
오바마 정부가 발표한 러시아의 해킹공격 세부내용과 제재사항
상태바
오바마 정부가 발표한 러시아의 해킹공격 세부내용과 제재사항
  • 페소아 기자
  • 승인 2017.01.04 14:43
이 기사를 공유합니다

러시아의 두 인텔리젼스 해커 그룹 및 관련 인물에 대한 일련의 제재사항

오바마 행정부와 국토안보부, 연방 수사국은 러시아 인텔리전스 그룹들의 사이버 공격에 대한 기술적 세부 사항을 최근 발표했다.

지난주 화요일 오바마 대통령은 미국을 표적으로 하는 해킹 작전을 진행하고 있는 러시아의 두 인텔리젼스 그룹 및 관련 인물에 대한 일련의 제재사항들에 대해 설명했다.

백악관은 또한 35개의 러시아 인텔리전스팀이 추방되었으며 미국 내의 2개의 관계팀이 폐쇄됐다고 밝혔다. 제재에 대한 세부 사항은 관련된 단체들의 윤곽을 설명한 성명서와 행정 명령에서 찾아 볼 수 있다. 제재는 미국의 대통령 선거 동안 발생한 해킹 사고에 러시아가 관련되어 있다는 혐의가 나타난 이후 수개월 뒤에 나온 것이다.

국토안보부와 FBI의 공동 분석 보고서에 따르면 러시아 군사 정보 기관은 미국 선거와 관련된 네트워크를 파악하기 위해 스피어피싱을 사용했다. 미국 정부는 ‘Grizzly Steppe’라는 작전명으로 해당 활동을 묶어 분류했다. 현재로서 이 보고서가 러시아나 다른 국가를 직접적으로 가리키고 있지는 못하지만, 기술적 지표들이 러시아를 향하고 있다.

2015년 여름과 2016년 봄에 이루어졌던 두 개의 공격에 대한 차트를 아래에서 확인할 수 있다.

공격의 핵심 특징은 아래와 같다.
-스피어피싱은 실행될 코드로의 웹링크를 사용하며 방어기재를 회피할 수 있다.
-작전에 사용된 도메인은 타깃 기관을 모방하고 있다.
-C&C노드는 인증서를 수집한다.
-이 공격들은 최근 미국 선거 후 11월에 가장 많이 나타났다.

보고서는 또한 Yara시그니처를 제공하기도 했다.

제재조치의 내용이 가장 흥미로운 부분이나, 이외에도 해당 보고서는 보안, 비즈니스 및 기술 리더가 읽어야 할 내용들이다. 공개된 정보를 이용해 미국의 공공 및 민간 기업들이 향후 공격에 대한 대응에 효과적으로 활용할 수 있게 되었다.

성명서에서 오바마는 아래와 같이 말했다.
“국토 안보부와 FBI는 러시아의 민간 및 군대의 인텔리전스 활동에 대한 기밀 정보를 공개해 미국과 해외의 네트워크 업체들이 러시아의 악의적인 사이버 활동에 대한 작전을 파악, 탐지 및 대응하도록 하고 있다.”

네트워크 관리자는 무엇을 해야 할까. 리포트에서는 아래와 같이 말하고 있다.

"네트워크 관리자는 제공된 IP주소, 파일 해쉬 및 Yara 시그니처를 확인하고, 조직 내에서 관찰되는 활동들이 악성인지 판단하기 위한 리스트에 해당 IP들을 넣어야 한다. 네트워크 경계의 데이터 흐름이나 방화벽 로그는 당신의 네트워크가 악성활동에 노출되었는지를 확인하는데 도움이 될 것이다”라고 밝혔다.

또 “IP주소에 대한 네트워크 경계 로그를 검토할 때 조직은 그들의 시스템에 이 IP들이 접속을 시도한 많은 인스턴스를 찾을 것이다. 이러한 IP트래픽을 검토하면, 일부 트래픽은 악성 활동에 대응되고, 다른 활동들은 정상적인 활동에 대응된다. 취약점 스캐닝이나 합법적인 공공 서비스를 브라우징 하는 등처럼 정상으로 판별되지만, 이 중 일부는실제로는 악성일 수도 있다. 이 IP들의 접속은 웹사이트에 XSS나 SQL인젝션 같은 취약점이 존재하는지 알아보기 위해 취약점 스캔을 행하고 있는 것이다"라고 덧붙였다.

결론적으로 보고서는 교육, 위험분석, 스캐닝 및 패치, 사고 대응 등의 모범적인 사례들을 적용하기를 권장하고 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★