[박춘식 교수의 보안이야기] 표적형 공격 메일에는 공격자의 목적을 유추할 수 있는 정보가 포함되어 있는 경우가 있다. 이렇게 해서 얻은 다양한 정보를 조합하면, 공격자의 목적이나 배경 등을 파악할 수 있을지도 모른다. 이러한 공격으로부터 얻어진 정보 가운데 공격의 시간대에 주목해 본다.
 
인터넷상에서 행하여지는 공격은 요일이나 시간대에서 공격빈도가 변화하는 것이 자주 있다. 이 공격 주기의 정보는 공격자의 활동 기반에 관계하고 있을 가능성이 있기 때문에 공격자의 배경을 이해하는 데 도움이 된다.
 
일본 IBM 시큐리티 운용센터(동경SOC)에서 표적형 공격 메일이 송신된 시간대를 조사한 결과 메일이 송신된 시간에 어떤 경향이 있음을 알게 되었다. 동경SOC에서 탐지한 일본 국내의 조직에서 보내진 표적형 공격 메일을 분석한 결과, 많은 공격은 월요일부터 금요일에 공격이 집중하고 있으며 휴일인 토요일이나 일요일에는 공격이 감소하고 있음을 알 수 있었다.
 
그리고 표적형 공격 메일이 송신된 시간대를 집계한 결과로 불법 메일은 주로 9시에 17시를 중심으로 송신되고 있어 저녁 18시부터 새벽 1시까지는 감소하고 있음도 알 수 있다. 또한 2시부터 7시까지는 표적형 공격 메일은 1건도 확인되고 있지 않다. 이러한 결과로부터 일본 국내의 조직을 타깃으로 한 표적형 공격 메일은 일본의 일반적 업무 시간대에 보내어지고 있음을 알 수 있었다.　이와 같이 공격이 일본의 업무시간대를 중심으로 행하여지고 있는 이유는 다음과 같은 것으로 생각된다.
 
1. 트래픽이 많은 업무 시간대에 메일을 발송해 공격이 알려지지 않도록 하고 있다.
2. 공격자는 일본과 동일한 또는 시차가 근사한 국가로부터 공격을 행하고 있다.
3. 2번에서 추측되는 것처럼 감히 이와 같은 시간대에 공격을 감행하고 있다.
 
이 공격에 관해서 해외의 조직을 타깃으로 한 공격에 대한 분석결과와 비교하면 하나의 추측이 성립된다.
 
GMT+1에 위치하는 나라의 조직에 대해서 표적형 공격 메일이 송신된 시간대이다. 공격은 4시를 중심으로 해서 1시부터 10시까지에 집중하고 있다. 대략 보면 일본에 대한 공격과 패턴이 다른 것처럼 생각되지만, 실제로는 1시부터 10시는 일본과 동일한 GMT+9의 시간대로 해 보면, 9시부터 18시가 된다.
 
즉 일본의 조직에 대한 공격이 발생한 것과 동일한 시간대이다. 이렇게 되면 어떤 공격이 동일한 공격자에 의한 것이 아닐까 추측할 수 있다. 만일 그렇다면 공격자는 트래픽이 많은 시간대에 공격을 시도하려 하고 있는 것은 아닌 것 같다.
 
GMT+9의 9시부터 18시경이 공격자의 활동 시간대라고 생각되는 쪽이 자연스러울 것이다. 이처럼　표적형 공격 메일의 송신시간의 정보를 조사해보면, 공격자의 속성을 추측할 수 있는 가능성이 있다.
 
게다가 공격에 이용되는 맬웨어의 정보 등도 함께 더해 더 많은 정보를 찾아낼 가능성이 있다. 이와 같은 분석으로부터 얻어진 정보를 축적한다면 지금까지 이상으로 강건한 시큐리티 대책이 가능하게 될지도 모른다. (NikkeiCommunication. 20121016)
 
[글. 박춘식 서울여자대학교 정보보호 학과 교수]