2019-09-24 00:02 (화)
"러시아-북한-중국 해커그룹...지난 10년간 사이버 위협의 주역, 해킹기술 고도화"
상태바
"러시아-북한-중국 해커그룹...지난 10년간 사이버 위협의 주역, 해킹기술 고도화"
  • 길민권 기자
  • 승인 2019.02.22 01:00
이 기사를 공유합니다

러시아 APT 그룹, 해킹에 20분...북한 해커그룹은 2시간 20분 걸려

cyber-security-3410923_640.jpg
정부나 민간단체가 러시아 공격 그룹의 해킹을 탐지하고 차단할 수 있는 여유는 단지 20분 뿐인 것으로 나타났다.

미국 사이버 보안회사인 크라우드스트라이크(Crowdstrike)는 “2019 크라우드스트라이크 글로벌 위협 보고서”에서 ‘탈주 시간(breakout time)’에 따라 위협 그룹의 순위를 매겼다.

'탈주 시간'은 해커 그룹이 피해자의 컴퓨터에 처음 액세스해 네트워크를 통해 리터럴 이동을 하는데 걸리는 시간을 나타낸다. 여기에는 공격자가 로컬 네트워크를 검색하고 악성코드를 배포해 근처의 다른 컴퓨터에 대한 액세스를 얻어내는데 소요되는 시간이 포함된다.

'탈주(breakout)' 항목 측정은 간단한 침입이 전체 네트워크의 손상으로 변하기 전에 감염을 탐지하고 해킹당한 컴퓨터를 격리해야 하는 시기를 나타내므로 매우 중요하다.

크라우드스트라이크가 해킹사건에서 수집한 데이터에 따르면 러시아 해커들(내부적으로 “Bears”라 명명)이 2018년 가장 많고 효율적인 해킹을 해냈으며 평균 탈주시간은 18분 49초였다. 뒤를 이어 북한 해커그룹(Chollimas)이 2시간 20분, 중국 해커그룹(Pandas)이 4시간, 이란 해커그룹(Kittens)이 4시간 9분, 사이버 갱(Spiders)이 9시간 42분으로 나타났다.

크라우드스트라이크에 따르면 2018년에 모든 침입 및 위협요소를 통해 확인된 전반적인 탈주시간이 4시간 37분으로 2017년 1시간 58분에서 상당히 증가한 것으로 나타났다.

이러한 측정 방법에 대해 “정교함을 판단할 수 있는 유일한 척도는 아니지만 주요 위협 요소의 운영 능력을 평가할 수 있는 흥미로운 방법이다”라고 그들은 덧붙였다.

초기에 손상된 컴퓨터에서 탈주할 수 있는 능력은 해킹 기술과 도구, 익스플로잇 모두를 필요로 한다. 러시아, 북한 및 중국 그룹이 상위 순위에 오른 이유는 지난 10년간 가장 활발한 사이버 위협의 주역이었을 뿐 아니라 수년 간의 노력을 통해 고급 도구를 구축하고 기술을 연마했기 때문이다.

“탈주 시간” 측정 항목은 크라우드스트라이크가 발표한 2019 크라우드스트라이크 글로벌 위협 보고서에 포함되어 있다. 이 보고서에는 작년 국가 및 사이버 범죄 집단에서 수행한 사이버 작전에 대한 요약이 포함되어 있다.

보고서의 결론 중 일부는 아래와 같다.

-국가 지원 집단은 2018년 내내 지속적으로 활동했다. 의사 결정자를 위한 정보를 수집하기 위해 반체제 인사, 적국 및 외국 세력을 타깃으로 한다.

-많은 국가들이 미디어 및 외교 경로를 통해 사이버 활동을 억제하고 있다고 했지만, 정상적으로 운영되고 있다.

-모든 사이버 공격의 60%는 일종의 멀웨어와 관련이 있다.

-중국과 북한은 2018년 국가 주도 공격의 거의 절반을 차지했다.

-직접적으로 목표를 공격하는 대신 공급망 회사를 해킹하는 것이 주요 추세이다.

-이란과 러시아는 텔레콤 회사를 해킹하는데 초점을 맞추고 있다.

-사이버 범죄 그룹은 이제 TTPs-for-hire(자체 그룹을 만드는 대신 다른 그룹이 제공하는 서비스나 도구를 임대하는 것)를 점점 더 많이 사용하고 있다.

-랜섬웨어 부분에서 범죄조직은 대기업을 대상을한 침입을 통해 큰 대가를 한번에 받을 수 있는 “거대 게임 사냥(big game hunting)” 전술을 채택했다.

-크라우드스트라이크는 고도로 정교한 범죄 행위자들간의 협력이 증대하고 있는 것을 발견했다.

★정보보안 대표 미디어 데일리시큐!★