한국은 개의치 않고 미국은 숨어들고 중국은 변장하고
[보안뉴스 문가용] 소니 영화사 해킹 사건이 아직도 기억에 생생한데 2014년의 사건이라니 벌써 역사의 한 켠에 묻어둘 정도의 시간이 지났다. 하지만 지나간 것은 사건과 상처의 일부일뿐, 범행을 직접 감행했던 공격자들은 여전히 생생히 살아 어디선가 비슷한 일을 한창 꾸미고 있다.
▲ 같으면 재미없지.
“먼지가 가라앉았다고 해서 먼지를 일으킨 사람도 사라지는 건 아니죠.” 카스퍼스키 랩의 수석 보안 전문가인 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)의 표현이다. 당연히 근거가 있는 말이었다. 최근 카스퍼스키에서 일명 ‘소니 해커’들의 최근 활동 사항을 파악한 것. 게다가 이는 카스퍼스키만이 아니다.
“저희가 보유하고 있던 정보들을 의미 있게 연관 짓는 데에 2년이 걸렸습니다. 결론부터 말하자면, 당시 공격을 감행했던 인물들이 소니 공격으로 얻은 정보들을 사용해 활동하고 있더라고요.” 에얼리언볼트(AlienVault)의 부회장인 블라스코(Blasco)의 설명이다. 블라스코에 따르면 이들은 여전히 정보를 수집하는 데에 초점을 맞춘 해킹 활동을 벌이고 있다고 한다. 또한 소니 해킹 때처럼 디스크 드라이브를 삭제하는 경우도 간혹 있다.
미국은 소니 해킹 사건을 북한의 소행이라고 주장한 바 있다. 하지만 북한이 이를 강력하게 부인하고 있고, 다른 사이버 범죄와 마찬가지로 누군가를 범인이라고 주장할 만한 100% 충분한 증거가 나오지 않은 상태라 소니 해킹의 범인은 ‘북한인 것으로 추정된다’ 정도로만 남아있다.
의혹이든 뭐든, 이렇게 공개적으로 존재가 드러난 해커들은 그 후 어떤 식으로 행동할까? 예전엔 보통 더 깊은 곳으로 숨어들었다. 잠적을 감춰 사람들이 자신들의 존재를 잊을 때까지 기다렸다. 카스퍼스키의 커트 봄가트너(Kurt Baumgartner)는 “존재가 드러남과 동시에 보통은 인프라며 서버를 전부 폐쇄하는 게 보통”이라고 설명한다. “또한 잠적기간도 수년 정도는 우습게 넘겼지요.”
그런데 소니 해커들에게서 볼 수 있듯이 이런 트렌드도 변하고 있다. 예를 들어 한국인들이 참여한 것으로 추정되는 다크호텔(DarkHotel)이라는 해킹 그룹을 보자. 이들은 전 세계 럭셔리 호텔의 와이파이를 해킹해 부유한 투숙객들을 공격하는 것으로 공개된 바 있다. 그렇게 매체를 탄 후, 이들은 호텔을 겨냥한 공격을 멈추었다. 그렇다 숨어들어가지도 않았고 말이다.
다크호텔은 지난 7월 해킹팀(HackTeam) 유출 사건으로 알려진 플래시 익스플로잇을 사용했다가 다시 한 번 자신의 흔적을 들키게 되었다. “들키고 나서 48시간이 지나기도 전에 플래시 익스플로잇을 멈췄어요. 그리고 엉성하게 설정되어 있는 서버를 남겨두고 사라졌지요.” 이런 식으로 행동하는 APT 단체는 듣도 보도 못했다는 게 봄가트너의 설명이다.
왜 이런 행동을 할까? 봄가트너는 다크호텔이라는 단체가 중요시 여기는 게 기존 해커들이 생각하는 것과 조금 다르기 때문이라고 설명한다. “자신들이 만들어 놓은 인프라를 보존하는 것에는 거의 신경을 쓰지 않습니다. 다만 자신들의 공격방법이나 루트 등은 최대한 숨기고 싶어합니다. 그러니 언론에서 ‘다크호텔이 나타났다’로 떠드는 건 이들에게 큰 걱정거리가 안 됩니다. 들키면 얼른 가방 싸고 들어가 다른 공격방법을 구상해서 나오면 되는 것이기 때문입니다.”
한 정보원은 현재 다크호텔은 기존에 걸어왔던 행보를 과감히 버리고 동남아시아의 표적들을 노리는 웹 메일 공격을 감행하느라 바쁘다고 한다.
다크호텔이나 소니 해커들이 알려지든 말든 내 갈 길 간다 식의 움직임을 보이고 있다면 전통적인 해커들의 습성을 따라 ‘철저히 숨어들어가는’ 그룹들도 존재한다. 역사상 가장 강력하고 발전된 해킹 단체라고 하는 이퀘이젼 그룹(Equation Group)이 바로 그들이다. 카스퍼스키는 이들을 지난 1년 동안 단 한 번도 발견한 적이 었다고 밝혔다.
이퀘이젼 그룹은 스턱스넷(Stuxnet)과 플레임(Flame) 공격의 배후에 있는 단체로 알려져 있으며, 고로 아직도 정확히 밝혀지지 않은 ‘해당 공격에 미국이 관여했다’는 주장을 뒷받침하거나 폐기시킬 수 있는 열쇠와 같은 존재다. 이들이 왜 최강의 해커라고 꼽히냐면, 망분리가 되어 있는 시스템을 공격하는 것도 가능하고 피해자의 시스템을 리프로그래밍 해서 멀웨어가 전혀 탐지되지 않도록 조작하는 것도 가능하기 때문이다. 업계 전문가 대부분은 이들이 NSA와 어떤 식으로든 연관되어 있다고 보고 있다.
“솔직히 이퀘이젼 그룹 쯤 되는 인물들이 활동을 멈추고 잠적해 있다고 보기는 어렵습니다. 저는 개인적으로 그들이 여전히 활동하고 있으나 통신 방법을 바꿨기 때문에 발견되지 않는 것이라고 봅니다.” 카스퍼스키 글로벌 연구 및 분석 팀 책임인 코스틴 라이우(Costin Raiu)의 설명이다. “우리가 가진 탐지망을 우습게 벗어난 것 뿐이라는 거죠.”
이렇게 그룹마다 행동 패턴이 다르게 나타나는 건 의외로 해당 해커들이 속해 있는 문화권의 영향일 수도 있다고 라이우는 설명한다. “극동 쪽에 있는 해커들은 자신들이 활동한 내용이 만천하에 공개되는 걸 그다지 심각하게 여기지 않는 듯 합니다. 그 외의 문화권에선 내 행적이 들킨다는 게 보다 더 크게 와 닿는 것이고요.”
그러나 같은 극동 쪽이라고 해도 미국 인사관리처를 해킹한 것으로 보이는 중국의 해커들은 또 다른 양상을 보인다. “인사관리처를 공격한 해커들은 들키자마자 ‘기어를 올렸다’고밖에 표현할 수 없는 반응을 보였습니다. 고차원적인 변장이랄까요. 찾았다고 생각하는 순간 인사관리처 해킹 때보다 훨씬 더 발전되고 고차원적인 공격을 하고 있어서 같은 단체라고는 도저히 생각하기가 힘들었습니다. 심지어 중국의 다른 해킹 단체들보다도 훨씬 수준이 높았어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 소니 영화사 해킹 사건이 아직도 기억에 생생한데 2014년의 사건이라니 벌써 역사의 한 켠에 묻어둘 정도의 시간이 지났다. 하지만 지나간 것은 사건과 상처의 일부일뿐, 범행을 직접 감행했던 공격자들은 여전히 생생히 살아 어디선가 비슷한 일을 한창 꾸미고 있다.
▲ 같으면 재미없지.
“먼지가 가라앉았다고 해서 먼지를 일으킨 사람도 사라지는 건 아니죠.” 카스퍼스키 랩의 수석 보안 전문가인 후안 안드레스 게레로사드(Juan Andres Guerrero-Saade)의 표현이다. 당연히 근거가 있는 말이었다. 최근 카스퍼스키에서 일명 ‘소니 해커’들의 최근 활동 사항을 파악한 것. 게다가 이는 카스퍼스키만이 아니다.
“저희가 보유하고 있던 정보들을 의미 있게 연관 짓는 데에 2년이 걸렸습니다. 결론부터 말하자면, 당시 공격을 감행했던 인물들이 소니 공격으로 얻은 정보들을 사용해 활동하고 있더라고요.” 에얼리언볼트(AlienVault)의 부회장인 블라스코(Blasco)의 설명이다. 블라스코에 따르면 이들은 여전히 정보를 수집하는 데에 초점을 맞춘 해킹 활동을 벌이고 있다고 한다. 또한 소니 해킹 때처럼 디스크 드라이브를 삭제하는 경우도 간혹 있다.
미국은 소니 해킹 사건을 북한의 소행이라고 주장한 바 있다. 하지만 북한이 이를 강력하게 부인하고 있고, 다른 사이버 범죄와 마찬가지로 누군가를 범인이라고 주장할 만한 100% 충분한 증거가 나오지 않은 상태라 소니 해킹의 범인은 ‘북한인 것으로 추정된다’ 정도로만 남아있다.
의혹이든 뭐든, 이렇게 공개적으로 존재가 드러난 해커들은 그 후 어떤 식으로 행동할까? 예전엔 보통 더 깊은 곳으로 숨어들었다. 잠적을 감춰 사람들이 자신들의 존재를 잊을 때까지 기다렸다. 카스퍼스키의 커트 봄가트너(Kurt Baumgartner)는 “존재가 드러남과 동시에 보통은 인프라며 서버를 전부 폐쇄하는 게 보통”이라고 설명한다. “또한 잠적기간도 수년 정도는 우습게 넘겼지요.”
그런데 소니 해커들에게서 볼 수 있듯이 이런 트렌드도 변하고 있다. 예를 들어 한국인들이 참여한 것으로 추정되는 다크호텔(DarkHotel)이라는 해킹 그룹을 보자. 이들은 전 세계 럭셔리 호텔의 와이파이를 해킹해 부유한 투숙객들을 공격하는 것으로 공개된 바 있다. 그렇게 매체를 탄 후, 이들은 호텔을 겨냥한 공격을 멈추었다. 그렇다 숨어들어가지도 않았고 말이다.
다크호텔은 지난 7월 해킹팀(HackTeam) 유출 사건으로 알려진 플래시 익스플로잇을 사용했다가 다시 한 번 자신의 흔적을 들키게 되었다. “들키고 나서 48시간이 지나기도 전에 플래시 익스플로잇을 멈췄어요. 그리고 엉성하게 설정되어 있는 서버를 남겨두고 사라졌지요.” 이런 식으로 행동하는 APT 단체는 듣도 보도 못했다는 게 봄가트너의 설명이다.
왜 이런 행동을 할까? 봄가트너는 다크호텔이라는 단체가 중요시 여기는 게 기존 해커들이 생각하는 것과 조금 다르기 때문이라고 설명한다. “자신들이 만들어 놓은 인프라를 보존하는 것에는 거의 신경을 쓰지 않습니다. 다만 자신들의 공격방법이나 루트 등은 최대한 숨기고 싶어합니다. 그러니 언론에서 ‘다크호텔이 나타났다’로 떠드는 건 이들에게 큰 걱정거리가 안 됩니다. 들키면 얼른 가방 싸고 들어가 다른 공격방법을 구상해서 나오면 되는 것이기 때문입니다.”
한 정보원은 현재 다크호텔은 기존에 걸어왔던 행보를 과감히 버리고 동남아시아의 표적들을 노리는 웹 메일 공격을 감행하느라 바쁘다고 한다.
다크호텔이나 소니 해커들이 알려지든 말든 내 갈 길 간다 식의 움직임을 보이고 있다면 전통적인 해커들의 습성을 따라 ‘철저히 숨어들어가는’ 그룹들도 존재한다. 역사상 가장 강력하고 발전된 해킹 단체라고 하는 이퀘이젼 그룹(Equation Group)이 바로 그들이다. 카스퍼스키는 이들을 지난 1년 동안 단 한 번도 발견한 적이 었다고 밝혔다.
이퀘이젼 그룹은 스턱스넷(Stuxnet)과 플레임(Flame) 공격의 배후에 있는 단체로 알려져 있으며, 고로 아직도 정확히 밝혀지지 않은 ‘해당 공격에 미국이 관여했다’는 주장을 뒷받침하거나 폐기시킬 수 있는 열쇠와 같은 존재다. 이들이 왜 최강의 해커라고 꼽히냐면, 망분리가 되어 있는 시스템을 공격하는 것도 가능하고 피해자의 시스템을 리프로그래밍 해서 멀웨어가 전혀 탐지되지 않도록 조작하는 것도 가능하기 때문이다. 업계 전문가 대부분은 이들이 NSA와 어떤 식으로든 연관되어 있다고 보고 있다.
“솔직히 이퀘이젼 그룹 쯤 되는 인물들이 활동을 멈추고 잠적해 있다고 보기는 어렵습니다. 저는 개인적으로 그들이 여전히 활동하고 있으나 통신 방법을 바꿨기 때문에 발견되지 않는 것이라고 봅니다.” 카스퍼스키 글로벌 연구 및 분석 팀 책임인 코스틴 라이우(Costin Raiu)의 설명이다. “우리가 가진 탐지망을 우습게 벗어난 것 뿐이라는 거죠.”
이렇게 그룹마다 행동 패턴이 다르게 나타나는 건 의외로 해당 해커들이 속해 있는 문화권의 영향일 수도 있다고 라이우는 설명한다. “극동 쪽에 있는 해커들은 자신들이 활동한 내용이 만천하에 공개되는 걸 그다지 심각하게 여기지 않는 듯 합니다. 그 외의 문화권에선 내 행적이 들킨다는 게 보다 더 크게 와 닿는 것이고요.”
그러나 같은 극동 쪽이라고 해도 미국 인사관리처를 해킹한 것으로 보이는 중국의 해커들은 또 다른 양상을 보인다. “인사관리처를 공격한 해커들은 들키자마자 ‘기어를 올렸다’고밖에 표현할 수 없는 반응을 보였습니다. 고차원적인 변장이랄까요. 찾았다고 생각하는 순간 인사관리처 해킹 때보다 훨씬 더 발전되고 고차원적인 공격을 하고 있어서 같은 단체라고는 도저히 생각하기가 힘들었습니다. 심지어 중국의 다른 해킹 단체들보다도 훨씬 수준이 높았어요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
