고급 기술로 알려진 해킹 기법, 상용화 되다시피 하고 있어
팀뷰어 등 원격 관리와 협업 툴 응용한 공격 기술 늘어나
[보안뉴스 문가용 기자] 최근 들어 비교적 실력이 낮은 해커들까지도 국가 지원 해커들의 전략과 기술을 사용하기 시작했다는 보고서가 나왔다. 보안 업체 크라우드스트라이크(CrowdStrike)가 발표한 것으로, 올해 1월과 6월 사이 자사 고객들이 겪은 공격들을 분석해 내린 결론이라고 한다.
[이미지 = iclickart]
이 보고서의 결론이 사실이라면 방어자들에게 있어 큰 소식이다. 왜냐하면 이제 누구나 고급 공격 전략을 사용할 수 있다는 뜻이기 때문이다. 크라우드스트라이크의 부회장인 제니파 아이어스(Jennifer Ayers)는 “고급 공격이라고 분류되던 것들이 상용화되기 시작했다”며 “이제 누구나 보다 실제적인 위험에 처해진 상황”이라고 설명했다.
이러한 상황에 대한 증거 중 하나는 팀뷰어(Team Viewer)의 사용량이 증가했다는 것이다. 팀뷰어 소프트웨어는 협업을 위한 정상적인 애플리케이션으로 원격에서의 업무 지원과 공동 작업 등을 가능하게 해준다. 하지만 이를 통해 정부가 지원하는 고급 해커들은 시스템에 원격에서부터 접근한다.
팀뷰어가 이렇게 악의적으로 활용되는 사례가 제일 처음 발견된 것은 2013년의 일로, 러시아의 APT 단체인 팀 베어(Team Bear)가 공격을 실시하고 있었다. 팀 베어는 팀뷰어를 조작해 피해자의 기기에 설치하고, 이를 통해 오랜 시간 컴퓨터에 접근했다. 그 후 여러 공격 단체들이 이와 비슷한 전략을 구사하기 시작했다.
그리고 올해 1사분기, 해커들이 팀뷰어를 사용해 숙박 산업을 집중적으로 공격하기 시작했다. 크라우드스트라이크에 의하면 ‘메이저급’에 속하는 조직들이 팀뷰어를 동원한 해킹 공격을 받았다. 모든 경우에 스푸핑된 팀뷰어 바이너리가 발견됐고, 네 공격 모두에서 발견된 C&C 서버 인프라도 비슷했다. 따라서 크라우드스트라이크는 “같은 공격자가 배후에 있을 것”으로 보고 있다.
또 다른 사건도 있었다. 신원이 밝혀지지 않은 공격자가 정상적인 크리덴셜을 사용해 팀뷰어에 로그인 하고 각종 멀웨어 툴을 원격에서 심은 것이다. 피해자는 엔터테인먼트 산업에서 누구나 이름을 알만한 조직이었다고 한다.
실력이 조금 낮은 해커들이 차용하기 시작한 고급 해커들의 기술은 팀뷰어만이 아니다. 지난 4월 크라우드스트라이크는 한 사이버 공격자가 아카딘(Arkadin)의 비전 데스크톱 앱(Vision Desktop App) 소프트웨어를 조작해 멀웨어를 심고 있는 것을 발견하기도 했다. 그 공격자는 시스템 침해를 일차적으로 성공한 뒤, 2단계 툴들을 심기 위한 사전 작업을 하고 있기도 했다.
아이어스는 이런 현상을 두고, “최근 공격자들이 원격 관리 도구를 통한 정찰 및 공격을 수행하는 전략을 많이 활용하고 있다”며 “이는 일반 해커나 국가 지원을 받는 공격자나 마찬가지”라고 설명한다. “컴퓨터 해킹을 하는 이들 사이에서 크리덴셜 탈취, 정보 수집, 네트워크 내 횡적 움직임들이 이런 식으로 행해집니다.”
“공격은 최대한 빨리 탐지해야 합니다. 최대한 실시간에 가깝게 발견하는 것이 좋습니다. 왜냐하면 저희가 데이터를 수집해 분석한 것에 의하면 수준이 올라간 공격자들이 네트워크를 침해한 후 횡적으로 움직이는 데에 걸리기 시작하는 시간은 평균 1시간 58분이었거든요. 최초 침해 이후 1분 안에 발견하고, 조사를 시작하는 건 10분 안에, 그리고 뭔가 조치를 취하는 건 1시간 이내에 할 수 있으면 가장 이상적입니다.”
크라우드스트라이크는 또한 “올해 중국의 위협 행위자들이 실시하는 표적형 침투 공격이 크게 증가했다”고 설명한다. “공격 표적은 산업을 가리지 않는데요, 그래도 주로 생명공학 기술, 제약, 국방, 광산 등을 노리고 있습니다. 전문 서비스 직종들도 많은 공격을 받고 있습니다.”
크라우드스트라이크가 분석해 공격자를 어느 정도 파악할 수 있게 된 70건의 침투 공격 중 40건은 중국에서 시작된 것이라고 아이어스는 말한다. “왜 갑자기 중국발 공격이 증가한 건지는 확실하게 알 수가 없습니다. 하지만 정부 해커들의 정찰 행위가 전반적으로 오른 것과 무관하지 않을 것으로 생각됩니다.”
3줄 요약
1. 일반 해커와 정부가 고용한 해커들 사이의 전략과 기술 차이가 좁아지고 있다.
2. 특히 원격 관리 툴 및 협업 툴을 통한 침투와 네트워크 내 횡적 움직임이 특징이다.
3. 횡적 움직임 시작하는 데 걸리는 시간은 평균 1분 58초. 실시간에 가까운 탐지가 중요함.
[국제부 문가용 기자(globoan@boannews.com)]
팀뷰어 등 원격 관리와 협업 툴 응용한 공격 기술 늘어나
[보안뉴스 문가용 기자] 최근 들어 비교적 실력이 낮은 해커들까지도 국가 지원 해커들의 전략과 기술을 사용하기 시작했다는 보고서가 나왔다. 보안 업체 크라우드스트라이크(CrowdStrike)가 발표한 것으로, 올해 1월과 6월 사이 자사 고객들이 겪은 공격들을 분석해 내린 결론이라고 한다.
[이미지 = iclickart]
이 보고서의 결론이 사실이라면 방어자들에게 있어 큰 소식이다. 왜냐하면 이제 누구나 고급 공격 전략을 사용할 수 있다는 뜻이기 때문이다. 크라우드스트라이크의 부회장인 제니파 아이어스(Jennifer Ayers)는 “고급 공격이라고 분류되던 것들이 상용화되기 시작했다”며 “이제 누구나 보다 실제적인 위험에 처해진 상황”이라고 설명했다.
이러한 상황에 대한 증거 중 하나는 팀뷰어(Team Viewer)의 사용량이 증가했다는 것이다. 팀뷰어 소프트웨어는 협업을 위한 정상적인 애플리케이션으로 원격에서의 업무 지원과 공동 작업 등을 가능하게 해준다. 하지만 이를 통해 정부가 지원하는 고급 해커들은 시스템에 원격에서부터 접근한다.
팀뷰어가 이렇게 악의적으로 활용되는 사례가 제일 처음 발견된 것은 2013년의 일로, 러시아의 APT 단체인 팀 베어(Team Bear)가 공격을 실시하고 있었다. 팀 베어는 팀뷰어를 조작해 피해자의 기기에 설치하고, 이를 통해 오랜 시간 컴퓨터에 접근했다. 그 후 여러 공격 단체들이 이와 비슷한 전략을 구사하기 시작했다.
그리고 올해 1사분기, 해커들이 팀뷰어를 사용해 숙박 산업을 집중적으로 공격하기 시작했다. 크라우드스트라이크에 의하면 ‘메이저급’에 속하는 조직들이 팀뷰어를 동원한 해킹 공격을 받았다. 모든 경우에 스푸핑된 팀뷰어 바이너리가 발견됐고, 네 공격 모두에서 발견된 C&C 서버 인프라도 비슷했다. 따라서 크라우드스트라이크는 “같은 공격자가 배후에 있을 것”으로 보고 있다.
또 다른 사건도 있었다. 신원이 밝혀지지 않은 공격자가 정상적인 크리덴셜을 사용해 팀뷰어에 로그인 하고 각종 멀웨어 툴을 원격에서 심은 것이다. 피해자는 엔터테인먼트 산업에서 누구나 이름을 알만한 조직이었다고 한다.
실력이 조금 낮은 해커들이 차용하기 시작한 고급 해커들의 기술은 팀뷰어만이 아니다. 지난 4월 크라우드스트라이크는 한 사이버 공격자가 아카딘(Arkadin)의 비전 데스크톱 앱(Vision Desktop App) 소프트웨어를 조작해 멀웨어를 심고 있는 것을 발견하기도 했다. 그 공격자는 시스템 침해를 일차적으로 성공한 뒤, 2단계 툴들을 심기 위한 사전 작업을 하고 있기도 했다.
아이어스는 이런 현상을 두고, “최근 공격자들이 원격 관리 도구를 통한 정찰 및 공격을 수행하는 전략을 많이 활용하고 있다”며 “이는 일반 해커나 국가 지원을 받는 공격자나 마찬가지”라고 설명한다. “컴퓨터 해킹을 하는 이들 사이에서 크리덴셜 탈취, 정보 수집, 네트워크 내 횡적 움직임들이 이런 식으로 행해집니다.”
“공격은 최대한 빨리 탐지해야 합니다. 최대한 실시간에 가깝게 발견하는 것이 좋습니다. 왜냐하면 저희가 데이터를 수집해 분석한 것에 의하면 수준이 올라간 공격자들이 네트워크를 침해한 후 횡적으로 움직이는 데에 걸리기 시작하는 시간은 평균 1시간 58분이었거든요. 최초 침해 이후 1분 안에 발견하고, 조사를 시작하는 건 10분 안에, 그리고 뭔가 조치를 취하는 건 1시간 이내에 할 수 있으면 가장 이상적입니다.”
크라우드스트라이크는 또한 “올해 중국의 위협 행위자들이 실시하는 표적형 침투 공격이 크게 증가했다”고 설명한다. “공격 표적은 산업을 가리지 않는데요, 그래도 주로 생명공학 기술, 제약, 국방, 광산 등을 노리고 있습니다. 전문 서비스 직종들도 많은 공격을 받고 있습니다.”
크라우드스트라이크가 분석해 공격자를 어느 정도 파악할 수 있게 된 70건의 침투 공격 중 40건은 중국에서 시작된 것이라고 아이어스는 말한다. “왜 갑자기 중국발 공격이 증가한 건지는 확실하게 알 수가 없습니다. 하지만 정부 해커들의 정찰 행위가 전반적으로 오른 것과 무관하지 않을 것으로 생각됩니다.”
3줄 요약
1. 일반 해커와 정부가 고용한 해커들 사이의 전략과 기술 차이가 좁아지고 있다.
2. 특히 원격 관리 툴 및 협업 툴을 통한 침투와 네트워크 내 횡적 움직임이 특징이다.
3. 횡적 움직임 시작하는 데 걸리는 시간은 평균 1분 58초. 실시간에 가까운 탐지가 중요함.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
