“오늘날의 사이버 위협 동향에서 적을 식별하는 것은 모든 방어 전략에 있어 매우 중요한 부분”이라며 “진화된 공격에 있어 누가 공격을 감행하며 그러한 공격이 어떻게 작용하는지, 또한 공격 이후 그들이 무엇을 하는지는 조직의 데이터와 지적재산권을 보호하는데 있어 매우 중요하다.” 파이어아이 코리아의 김현준 기술이사의 말이다.
 
파이어아이(지사장 전수홍 www.fireeye.com)가 30일 사이버 공격 특성에 대한 상세 정보를 제공하는 ‘디지털상의 7가지 단서: 사이버 공격의 배후는 누구인가’보고서를 발표했다.
 
이번 보고서에 대해 파이어아이 관계자는 “현재 가장 만연해 있는 사이버 공격 특성에 대한 정보와 분석을 제공함으로써, 보안 전문가가 공격의 양상을 식별하고 미래의 진화된 사이버 공격으로부터 조직을 보호할 수 있는 보다 효과적인 방어책을 마련할 수 있도록 도움을 준다”먀 “또한 보고서를 통해 ‘Comment Crew’로 알려진 중국의 군사 집단에 의해 고용된 해킹 집단의 공격 전술을 확인할 수 있다. 이 조직은 이전에 미국 정부를 대상으로 진행되었던 표적 공격과도 관련된다”고 설명했다.
 
또 “공격자가 온라인 상에 남긴 흔적인 공격의 패턴, 행동 및 기술에 대해 식별하기 위해 진화된 공격을 분석한다”며 그리고 “공격 행동, 멀웨어 메타데이터 또는 키보드 레이아웃과 같은 일곱 가지의 특정 공격 특성에 대해 설명함으로써 특정 국가나 지역에 기인되는 특정 공격에 있어 상당한 도움을 줄 수 있다”고 전했다.
 
예를 들어, 보고서는 멀웨어 메타데이터에 대한 최신의 분석을 제공하는데, 이는 이전에는 알려지지 않았던 중국의 ‘Comment Crew’에 의해 사용된 공격 전술을 확인하는데 도움을 준다. ‘Comment Crew’는 올해 초 미국 정부를 대상으로 발생한 일련의 공격들과 연관되는 중국의 악명 높은 해커 그룹이다.
 
이번 보고서는 파이어아이가 전 세계 약 1,500 여개의 기업으로부터 취합한 샘플을 기반으로 하며, 아래와 같은 멀웨어 공격과 그들이 주로 사이버 공격자에 대해 어떠한 단서를 남기는지에 대해 보여준다. 다음은 보고서의 핵심 내용이다.
 
◇디지털상의 7가지 단서: 사이버 공격의 배후는 누구인가’ 보고서 핵심 내용
·키보드 레이아웃(Keyboard Layout): 공격자의 키보드 선택은 언어와 지역에 따라 달라지는데, 이는 피싱 시도 속에 숨겨져 있다.
 
·멀웨어 메타데이터(Malware Metadata): 멀웨어 소스 코드는 기술적인 세부 사항을 포함하며 이는 공격자의 언어, 위치를 추측할 수 있게 하며, 다른 캠페인들과 연관된다.
 
·내장된 글꼴(Embedded Fonts): 피싱 메일에 사용되는 글꼴은 공격의 근원을 의미한다. 이는 일반적으로 글꼴이 공격자의 모국어로 사용되지 않는 경우에도 마찬가지이다.
 
·DNS등록(DNS Registration): 공격에 사용된 도메인은 공격자의 위치를 파악하게 해준다. 중복 등록 정보는 다양한 도메인을 한 명의 일반적인 공격자와 연관시킬 수 있다.
 
·언어(Language): 멀웨어에 포함된 언어들은 종종 공격자의 모국을 나타낸다. 피싱 이메일에서보여지는 일반적인 언어 실수는 때로 공격자의 모국어를 알아내기 위해 반대로 엔지리어링 될 수 있다.
 
·원격 관리 툴 구성(Remote Administration Tool Configuration): 자주 사용되는 멀웨어를 제작하는 툴은 일종의 구성 옵션을 포함한다. 이러한 옵션들은 종종 툴을 사용하는 공격자들에게 뚜렷하게 드러나며, 이를 통해 연구팀은 각기 다른 공격을 일반적인 위협 행동으로 묶을 수 있다.
 
·행동(Behavior): 방법 및 타깃과 같은 행동 패턴은 공격자의 공격 방식과 동기를 나타낸다.
 
파이어아이 코리아의 김현준 기술이사는 “공격자들은 그들의 멀웨어 코드, 피싱 이메일, CnC서버, 그리고 심지어 기본적인 행위에서도 그들을 노출 시킬 수 있다”라며 “지문이나 DNA, 혹은 섬유 조직 분석이 범죄 분석에서 매우 중요한 요소가 되고 있는 것과 마찬가지로, 만약 연구원이 찾고자 하는 바를 알고 있는 경우 사이버 공격의 흔적을 연결하면 정교한 위협을 행한 공격자를 식별하는데 도움을 줄 수 있다”라고 말했다.
 
또 “이번 보고서에 제시된 방법을 구현하면 보안 전문가는 이전의 위협 행위자를 보다 빠르게 식별 할 수 있으며 진화된 사이버 공격으로부터 조직을 더욱 안전하게 보호할 수 있다”고 덧붙였다.
 
‘디지털상의 7가지 단서: 사이버 공격의 배후는 누구인가’보고서에 대한 전문은 데일리시큐 자료실에서 다운로드 할 수 있다.
 
데일리시큐 오병민 기자 bmoh@dailysecu.com