협박, 비밀스러운 계획, 방해 공작, 드라마, 정치, 스릴러, 인질극 등등. 하지만 이건 실감 나는 할리우드 영화의 줄거리가 아니라 소니 픽처스 엔터테인먼트(SPE)가 최근에 당한 해킹에 대한 얘기다.
 
지금까지 겪었던 것 중 가장 심각한 공격 행위 중 하나이지만, IT 부서에서는 계속 이와 같은 표적 공격 문제를 해결하려고 할 것이므로 이 정도 규모의 공격 행위를 앞으로 몇 날 몇 달 동안 보게 될 것이다.
 
소니가 가짜 시드로 수많은 토렌트 파일 공유 노드를 없애서 도난당한 데이터의 다운로드를 방해하여 해킹 문제를 해결하는 동안 웹센스 연구소에서는 그러한 공격으로부터 고객을 보호하기 위해 바쁘게 움직였다.
 
SPE 공격에 사용된 멀웨어로부터 고객을 보호하기 위해 12월 2일에 초기 대책을 공개했으며, 상황을 계속 주시하면서 필요에 따라 보호 대책을 개선할 예정이다.
 
웹센스 분석에 따르면, 이 공격에 사용된 최초의 멀웨어는 네트워크를 통해 폭넓게 전파되는 SMB(서버 메시지 블록) 웜이었다. 그리고 2차 멀웨어에는 백도어뿐만 아니라 MBR(마스터 부트 레코드) 및 하드 드라이브 제거 도구도 포함되었다.
 
멀웨어 행위자는 데이터를 공개하기 전에 금전적 대가를 원했다. 하지만 동기는 아직 불분명하다. 북한의 행위라고 볼 수 있는 많은 연결 고리가 있지만, 이 공격을 북한의 소행으로 규정하는 것은 불가능하지는 않아도 매우 힘든 일이다.
 
◇감염 경로
기술적인 관점에서 보았을 때 공격 킬 체인은 일반적인 감염 시나리오였다. 내부자에게 책임이 있음을 암시하는 몇몇 보고서를 보면 공격은 다른 수단을 통해 감염된 또는 피싱 이메일에서 시작되었을 것이다.
 
하드 코딩된 명령 및 제어(C&C) 서버에 업데이트를 지속해서 전송하는 동안 한 시스템에서 다른 시스템으로 전파하기 위해 인증 정보를 강제 탈취하는 SMB 웜에 감염되었다. 거기에서부터, 백도어, 프록시, 하드 드라이브 제거 도구, MBR 삭제기 등 다양한 도구가 데이터 유출 작업을 수행하고, 하드 드라이브를 지우고, 마스터 부트 레코드(MBR)를 제거하는 등의 작업을 계속 수행했다.
 
US-CERT는 www.us-cert.gov/ncas/alerts/TA14-353A에서 침입해 실행 중인 특정 파일의 상세 정보를 취합하는 매우 중요한 일을 했다.
 
◇악의적 행위자의 목표
데이터가 소니 공격의 핵심이라는 것은 명백하다. 데이터를 해킹했다고 주장하는 '평화의 수호자(Guardians of Peace. 가디언즈 오브 피스)'라는 단체가 금전적 대가를 위해 보유하고 있었다. 이 단체는 소니를 협박했으며, 앞으로 데이터를 더 공개하겠다는 위협과 함께 지금까지 200GB에 달하는 대량의 기밀 데이터를 공개했다.
 
어떠한 조직의 방어선을 뚫고 그러한 대량의 기밀 데이터가 유출된 사태를 통해 일종의 경종을 울릴 수 있어야 한다. 따라서 자동화된 방식으로 조직 내에 존재하는 데이터를 파악해 위험 등급에 따라 보호하는 것이 매우 중요하다. 데이터 정책에 따른 데이터 발견, 데이터 식별, 데이터 분류 및 명백한 조치는 웹센스 ACE(지능형 분류 엔진)와 ThreatSeeker 인텔리전스 클라우드에서 분석의 핵심이다.
 
해킹 자체는 잘 조직화해 이 공격의 목표로 생각되는 미국 차원의 사이버 전쟁에서는 여러모로 이례적이다.
 
논란이 되고 있는 이 단체의 실제 의도는 불분명해 여러 가지 풀리지 않은 의문점을 남기고 있다. 초기에는 돈이 목적인 것 같았지만, 의문점은 어째서 소니가 "더 인터뷰"라는 영화를 철회해 그들의 요구를 들어주었느냐 하는 것이다.
 
현재 소니의 데이터가 그들의 손에 있는 상황에서 공격자는 또 다른 어떤 것을 원하는 것일까? 소니의 데이터는 이미 소니의 손을 떠났고, 현실 세계와 달리 모든 데이터 사본이 "반환"될 방법은 없다. 책임 규명과 관련해, 이 단체가 정말 공격을 했고 다른 희생자가 있을까?
 
멀웨어 자체의 정교함을 보면, 이 멀웨어는 스턱스넷(Stuxnet)이 아니다. 전체 공격을 구성하는 데 큰 비용이 들지 않았으며 멀웨어는 그 자취를 감추기 위해 거의 한 것이 없었다. 사이버 공격의 책임 주체를 규명하는 것은 가장 어려운 일 중 하나로, 뉴스를 통해 많이 얘기하는 "사이버 전쟁"이란 용어는 보이는 것만큼 단순하지 않다. 당연히 관심을 다른 곳으로 돌리는 것일 수도 있고, 가상 세계에서 그럴듯하게 사실을 부인하는 것 또한 큰 역할을 한다.
 
코드는 단순해서 크게 애매하지 않았고 명령과 제어(C&C) 통신은 그다지 특이하지도 않았다. 일부 멀웨어는 SPE를 위해 특별히 작성되었다. 공격자는 호스트 이름, 비밀번호 등을 하드 코드로 작성했고, 그렇게 해서 상당량의 관련 내부 정보가 유출되었던 정찰 단계가 있었음을 나타낸다.
 
도난당한 기밀 데이터의 양으로 판단해 보면 공격자는 한동안 SPE의 네트워크에서 활동했던 것 같다.
 
멀웨어의 목표는 소니의 데이터를 유출하고 파괴하는 것이었다. 어떤 면에서 이는 데이터 삭제로 포렌식 분석이 더욱 어렵게 되어도 행위 그 자체는 즉각적으로 탐지할 수 있음을 의미한다.
 
웹센스 측은 “오늘 우리가 가진 데이터를 바탕으로 뒤돌아 보면, 모든 상황이 공격자에게 유리하게 돌아갔던 것 같다. 왜냐하면 탐지를 피하려고 적절히 통제하고 기본적인 목표를 달성했기 때문이다. 이번 공격이 우리가 겪게 될 마지막 사이버 공격은 아닐 것이 분명하다. 우리는 우리가 잘못했던 문제를 찾아서 미래를 위해 그 교훈을 기억해야 한다. 자동화된 데이터 분류와 보호에 집중하고 킬 체인의 모든 단계에서 항상 경계하면서 보안 침해 흔적 지표(IoC, Indicators Of Compromise)를 파악해 앞으로 데이터 유출에 이용되지 않도록 해야 한다”고 전했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com