2019-11-11 21:20 (월)
‘플래티넘’ 사이버 공격 조직, 스테가노그라피 기법 사용해 오랜 시간 은닉...정보탈취
상태바
‘플래티넘’ 사이버 공격 조직, 스테가노그라피 기법 사용해 오랜 시간 은닉...정보탈취
  • 길민권 기자
  • 승인 2019.06.11 15:19
이 기사를 공유합니다

스테가노그라피 사용하면 오랜 기간 의심 받지 않고 감염된 시스템에 머무를 수 있어

▲ 플래티넘 공격 조직 분석 리포트 중. 카스퍼스키랩 제공.
▲ 플래티넘 공격 조직 분석 리포트 중. 카스퍼스키랩 제공.
남아시아 지역의 정부, 외교, 군사 기관으로부터 정보를 탈취하기 위한 목적으로 시행된 고도의 사이버 스파이 공격이 발견되었다.

이 공격은 무려 6년 가까이 진행되었으며 이 지역에서 최근에 발견된 다른 공격과도 연관이 있었다. 공격에 사용된 도구와 방법에 대해 조사한 결과, 사라진 것으로 간주되었던 사이버 스파이 조직 '플래티넘'이 공격의 배후로 지목되었다.

카스퍼스키랩에 따르면, 그토록 오랫동안 공격이 발견되지 않았던 이유는 정보의 존재 자체를 은닉할 수 있는 스테가노그라피 기법을 사용해 정보를 인코딩했기 때문이었다고 밝혔다.

그동안 스테가노그라피의 위험에 대해 많은 보안 전문가들이 경고했다. 스테가노그라피는 데이터가 전송되고 있다는 사실 자체를 감출 수 있는 형식으로 정보를 숨겨서 보내는 기법이며 데이터를 암호화하는 방법과는 다르다.

스테가노그라피를 사용하면 사이버 스파이 공격자가 오랜 기간 의심 받지 않고 감염된 시스템에 머무를 수 있다. 과거 남아시아 및 동남아시아 지역의 정부 및 관련 기관을 노렸던 사이버 해킹 조직 ‘플래티넘’이 이 기법을 사용했다. ‘플래티넘’은 2017년을 마지막으로 지금까지 활동 흔적이 보고되지 않았다.

이번에 새롭게 발견된 ‘플래티넘’ 공격의 경우 악성코드 명령이 웹사이트의 HTML 코드에 숨겨져 있었다. HTML 코드에서 탭 키와 스페이스바 키는 실제 웹사이트에서 적용되지 않기 때문에 공격자는 이 두 키를 사용한 특정 시퀀스를 사용해서 명령을 인코딩했다.

덕분에 네트워크 트래픽에서 명령을 탐지하는 것이 거의 불가능했다. 악성코드가 수상하지 않은 웹사이트에 접근했을 뿐이고 전체 트래픽에서도 별다른 징후가 탐지되지 않았기 때문이다.

카스퍼스키는 이 악성코드를 탐지하기 위해 기기에 파일을 업로드하는 프로그램을 확인했고, 검사한 프로그램 가운데 하나가 비정상적으로 작동하는 것을 발견했다.

예를 들어 공용 클라우드 서비스 드롭박스에 관리자용으로 액세스하는가 하면 특정 시간대에만 작동하도록 프로그래밍 되어 있었다. 나중에 정상적인 업무 시간 중에 실행되는 다양한 프로세스 가운데 악성코드 활동을 감추기 위한 목적이었다는 사실이 밝혀졌다. 덕분에 탐지되지 않았지만 사실 다운로더는 감염된 기기에서 데이터를 빼내거나 업로드하고 있었던 것이다.

이창훈 카스퍼스키코리아 지사장은 "‘플래티넘’의 공격 기법은 더욱 발전하고 정교하게 다듬어졌다. 이 공격에 사용된 악성코드도 마찬가지다. 스테파노그라피 기법뿐 아니라 오랜 기간 동안 탐지되지 않고 시스템을 감염시키며 공격을 전개할 수 있는 다양한 기능을 갖추고 있다. 예를 들어 명령 센터에서 오는 명령만 전송하는 것이 아니라 감염된 기기에서 다른 기기로의 전송도 가능하다”며 “이 방법으로 감염된 기기와 인터넷으로 연결되지는 않았지만 동일한 인프라에 속한 다른 기기에도 명령을 전송할 수 있었다. ‘플래티넘’ 같은 공격자가 스테가노그라피를 사용한다는 것을 통해 APT 공격 기법이 크게 진화해 앞으로 탐지하기 더욱 어려울 것이라고 예상할 수 있다. 보안업체는 보안 솔루션 개발 시 이 점을 반드시 명심해야 할 것"이라고 언급했다.

카스퍼스키는 정교한 사이버 스파이 공격의 피해자가 될 위험을 줄이기 위해 “직원들에게 악성일 가능성이 있는 애플리케이션이나 파일을 식별하고 피하는 법을 알려주는 보안 인식 교육을 실해야 한다. 이러한 교육을 통해 신뢰할 수 없거나 알 수 없는 소스에서는 앱이나 프로그램을 다운로드해 실행하지 않아야 한다는 기본적인 원칙을 교육해야 한다”고 강조했다.

이어 “엔드포인트 수준의 탐지, 조사 및 시의 적절한 치료를 위해 EDR 솔루션을 구축하거나 필수적인 엔드포인트 보호를 적용하는 것 외에도 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 관련 보안 솔루션을 구축하는 것이 중요하다. 그리고 SOC 팀에 최신 위협 인텔리전스에 대한 접근 권한을 제공해 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 업데이트해야 한다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★