메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

교묘한 수법의 사이버 공격 조직이 다른 조직을 적극적으로 해킹하여 피해자 데이터를 훔치고 도구와 기술을 이용하며 서로의 인프라를 재사용하는 사례가 증가하고 있다. 카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT)에 따르면 이러한 경향 때문에 보안 연구원이 정확한 위협 인텔리전스를 제공하는 일이 더욱 어려워지고 있다고 한다.

정확한 위협 인텔리전스를 제공하기 위해서는 특정 해킹 조직의 단서가 되는 패턴과 도구를 밝혀내는 작업이 반드시 필요하다. 이러한 지식을 통해 다양한 해킹 조직의 목표와 공격 대상, 행동을 더욱 정확하게 파악하여 기업의 위험 수준 판단에 도움을 줄 수 있다. 그러나 해킹 조직이 서로를 해킹하고 서로의 도구와 인프라, 심지어 피해자 정보까지 탈취하기 시작하면서 이러한 작업 모델은 급속도로 붕괴되고 있다. 

카스퍼스키랩에서는 그러한 공격의 주체는 대개 국가의 지원을 받는 해킹 조직이며, 해외 기반이거나 실력이 뒤처지는 해킹 조직을 대상으로 실행하는 공격이라고 예상하고 있다. 이러한 상황 속에서 IT 보안 연구원은 상황에 맞는 인텔리전스를 제시하기 위해 이 새로운 공격의 징후를 포착하고 해석할 방법을 파악해야만 한다.

GReAT 연구진은 이 유형의 공격에 대한 심층 분석을 통해 수동적 공격과 능동적 공격이라는 두 가지 주요 접근법을 확인했다. 수동적 공격은 다른 해킹 조직에서 전송 중인 데이터를 가로채는 방식이다. 예를 들어 피해자와 C&C(명령 및 제어) 서버 사이에 데이터가 이동할 때를 노려 가로채는 것이다. 이 경우에는 탐지가 거의 불가능하다. 능동적 공격 방식은 다른 해킹 조직의 악성 코드 인프라에 침투하는 방식이다.

능동적 공격 방식을 취하는 해킹 조직은 탐지될 위험이 커지지만 그만큼 이득도 크다. 정기적으로 정보를 손에 넣어 다른 해킹 조직과 그 피해자를 모니터링 할 수 있고, 심지어 자체 악성 프로그램을 삽입하거나 피해자의 이름으로 공격을 개시할 수도 있다. 능동적 공격의 성공 여부는 대개 공격 대상이 운영 보안과 관련된 실수를 저지르는지에 따라 달라진다. 

GReAT는 특정 해킹 조직을 조사하던 중 예상치 못한 이상한 정보를 다수 접하게 되었다. 이를 통해 능동적 공격은 이미 실제로 진행되고 있다는 사실을 알 수 있었다.

그러한 사례는 다음과 같다.

1. 다른 조직의 C&C(명령 및 제어) 인프라에 백도어 설치
해킹한 네트워크에 백도어 프로그램을 설치하면 다른 해킹 조직의 작업 내에 계속 머무를 수 있다. 카스퍼스키랩 연구진은 그러한 백도어 프로그램의 실제 사례로 보이는 사건을 두 가지 발견했다. 
하나는 2013년 NetTraveler가 사용한 서버를 분석하던 중 발견된 것으로, 아시아의 정치사회 운동가 및 다양한 조직을 대상으로 하는 중국어 기반의 공격이었다. 또 하나는 2014년 Crouching Yeti(Energetic Bear라고도 함)가 사용한 웹사이트를 분석하던 중 발견되었으며, 러시아어 기반의 해킹 조직이 2010년부터 산업 부문을 대상으로 공격을 펼쳐온 사실이 눈에 띄었다. 연구진은 C&C 네트워크 관리 패널이 잠깐 동안 중국의 원격 IP를 나타내는 태그(가짜 플래그일 가능성이 높음)로 수정되었다는 사실을 확인했다. 연구진은 이것이 다른 조직 소유의 백도어 프로그램이라고 보고 있지만, 그 조직의 정체에 대해 알 수 있는 지표는 전혀 없다.

2. 해킹한 웹사이트의 공유
2016년 카스퍼스키랩 연구진은 한국어 기반 DarkHotel의 공격으로 손상된 웹사이트가 다른 표적형 공격 조직의 익스플로잇 스크립트를 호스팅한 사실을 발견했다. 다른 공격 조직의 정체는 ScarCruft라고 불리며 러시아, 중국. 한국의 여러 기업 및 단체를 공격 대상으로 삼는 해킹 조직이었다. DarkHotel의 활동은 2016년 4월부터이지만 ScarCruft의 공격은 그로부터 한 달 후 수행된 것으로 보아, ScarCruft가 자체 공격을 시작하기 전에 DarkHotel의 공격을 관찰하고 있었을 가능성이 있다.

3. 프록시를 이용한 공격 대상 선정
해커가 특정 지역 또는 산업 부문에 확고히 자리잡은 다른 해킹 조직에 침투하면 해당 조직의 전문 지식을 활용하여 비용을 절감하면서 표적형 공격을 보다 효율적으로 이행할 수 있다. 
그래서 일부 해킹 조직의 경우 피해자 정보를 훔치지 않고 공유한다. 위험한 접근 방식이기는 하다. 해킹 대상으로 삼은 조직 중 하나가 고급 기술이 부족하여 발각되면 뒤이은 포렌식 분석을 피할 수 없고 이를 통해 다른 침입자의 정체도 드러나기 때문이다. 2014년 카스퍼스키랩의 보고에 따르면 Magnet of Threats 라는 중동 소재의 연구 기관이 보유한 서버의 경우, 매우 정교한 수법의 해킹 조직 Regin 및 Equation Group(영어 기반), Turla 및 ItaDuke(러시아어 기반), Animal Farm(프랑스어 기반), Careto(스페인어 기반)에서 심어놓은 프로그램을 동시에 호스팅하고 있었다. 사실상 이 서버를 출발점으로 하여 Equation Group을 찾아낼 수 있었다.

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 “최근의 해킹 공격은 단서가 거의 없고 조작도 쉽기 때문에 여건이 좋아도 원인을 밝혀내기 어려운데 이제는 해킹 조직이 서로 해킹하며 발생한 영향까지 고려해야 하는 상황입니다. 점점 더 많은 해킹 조직이 서로의 툴킷과 피해자, 인프라를 활용하기도 하고 자체 프로그램을 삽입하거나 피해자의 ID를 사용하여 추가 공격을 개시하기도 하니, 정확한 진상을 분명하게 파악하려는 해킹 추적팀이 어떤 상황인지 상상이 가시죠? 우리가 발견한 사례를 살펴보면 일부 공격이 이미 실제로 진행되고 있으므로 위협 인텔리전스 연구진은 잠시 여유를 갖고 고급 해킹 조직의 작업 분석에 대해 사고방식을 조금 바꿔볼 필요가 있습니다.” 라고 이야기하고 있다.

카스퍼스키랩은 위협 환경의 급속한 변화에 뒤처지지 않도록 첨단 위협 인텔리전스와 결합한 완전한 보안 플랫폼을 구현할 것을 기업들에게 권고하고 있다. 카스퍼스키랩의 엔터프라이즈 보안 포트폴리오는 차세대 엔드포인트 보안 제품군을 통한 위협 방지 기능을 비롯하여 Kaspersky Anti Targeted Attack 플랫폼에 기반을 둔 탐지 기능, 위협 인텔리전스 서비스를 통한 예측 및 보안 사고 대응 기능을 기업에게 제공해준다.

해킹 조직이 다른 해킹 조직의 서버나 인프라를 입수하여 재사용하는 방식(도구의 가공, 악성 코드 클러스터링 등) 및 위협 인텔리전스의 영향력에 대해 자세한 내용은 ‘Walking in your enemy’s shadow: when fourth-party collection becomes attribution hell(적을 그림자처럼 따라다니는 전략: 여러 당사자가 뒤얽혀 원인 규명이 요원) Securelist 홈페이지에서 확인할 수 있다.

카스퍼스키랩의 구독자 전용 인텔리전스 보고서에 대한 내용은 다음 주소로 문의하여 자세한 정보를 얻을 수 있다. intelreports@kaspersky.com 

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다. 
자세한 내용은 www.kaspersky.com을 참조하십시오.

번호 제목 날짜
» 스파이 전쟁: 서로 간 정보 탈취와 복제가 한창인 국가 지원 해킹 조직들

관리자 2017.11.07 3

2017.11.07
91 새로운 보안위협 정보 교환 협약으로 더욱 공고해진 인터폴과 카스퍼스키랩의 공조

2017.11.07 0

2017.11.07
90 평균 6.3대의 IT 기기를 보유한 새로운 ‘가정 2.0’ 시대를 위한 보안

2017.11.07 0

2017.11.07
89 초보자도 가능한 ATM 해킹: 아마추어를 대상으로 하는 신종 ATM 해킹 악성 코드 패키지 Cutlet Maker 적발

2017.11.07 0

2017.11.07
88 싱가포르 정부, 카스퍼스키랩의 새로운 사이버 보안 연구에 투자

2017.11.07 0

2017.11.07
87 당혹스러운 루머의 진상: FAQ file

2017.10.25 0

2017.10.25
86 2017년 1분기 카스퍼스키랩 DDoS 공격 보고서: 폭풍전야

2017.06.26 0

2017.06.26
85 카스퍼스키 Data Feed Service

2017.06.26 0

2017.06.26
84 WannaCry Ransomware 예방을 위한 Microsoft 보안 패치 원격 설치 가이드 file

2017.05.15 0

2017.05.15
83 대규모 랜섬웨어 공격 WannaCry에 대한 카스퍼스키랩 코멘트

2017.05.15 0

2017.05.15
82 Lazarus 추적: 대규모 은행 강도 예방을 위한 악질 해커와의 전쟁

2017.04.14 0

2017.04.14
81 15개의 새로운 복호화 도구와 새로운 파트너로 더욱 강력해진 No More Ransom 프로젝트

2017.04.14 0

2017.04.14
80 보안 제품 성능 평가 TOP3 지표에서 1위를 지킨 카스퍼스키랩

2017.03.20 0

2017.03.20
79 PetrWrap: 해커들이 랜섬웨어 코드를 해커들로부터 훔치다

2017.03.20 0

2017.03.20
78 카스퍼스키랩, Kaspersky 운영 체제 출시

2017.03.20 0

2017.03.20
77 금융보안원 글로벌 보안 기업과 사이버위협 정보공유 업무협약 체결

2017.02.27 0

2017.02.27
76 보안 사각지대 ‘리눅스서버’

2017.02.27 0

2017.02.27
75 2016년에 발견된 암호화 랜섬웨어의 75% 이상은 러시아어 사용 범죄조직에서 배포

2017.02.21 0

2017.02.21
74 새로운 국면을 맞은 DDoS 공격

2017.02.21 0

2017.02.21
73 AV-TEST에서 최우수 부문을 석권한 카스퍼스키랩

2017.02.06 0

2017.02.06