셰도우 브로커스와 위키리크스가 공개한 NSA와 CIA의 고급 해킹 도구들
다크웹에서 이 도구들을 기반으로 한 해킹 툴 및 전략, 다수 거래되고 있어
[보안뉴스 문가용 기자] 2016년과 2017년 NSA와 CIA의 비밀 해킹 툴이 공개되면서 각 나라의 정부 지원을 받는 해커들의 실력이 전반적으로 올라갔다는 보고서를 위협 첩보 분석 전문 업체인 다크아울(DarkOwl)이 발표했다. 최근 다크웹을 샅샅이 조사해서 발견한 ‘사이버전용’ 도구들을 분석한 결과라고 한다.
[이미지 = iclickart]
NSA와 CIA의 기밀들은 각각 셰도우 브로커스(Shadow Brokers)와 위키리크스(WikiLeaks)라는 단체가 공개했다. 그 공개 과정 중에 NSA의 대량 감시 시스템인 유나이트드레이크(UNITEDRAKE)와 다중 플랫폼 CIA 멀웨어인 하이버(HIVE)가 세상에 그 모습을 드러내기도 했다. 그 외에도 추적과 감시를 엉뚱한 곳으로 돌리게 해주는 각종 사이버 공격 전략들도 함께 유출됐다.
미국 최고 정보 기관들이 개발하고 활용한 무기가 낱낱이 공개되면서 사이버 공격자들은 텍스트, 영상, 이미지를 획득하는 새로운 방법들을 알게 되었다. 그저 컴퓨터에서만 그런 정보들을 빼내는 게 아니라 사물인터넷 장비, 스마트 TV 등과 같은 최신 기계들도 공략할 수 있게 됐다. 스마트 차량을 공격하고, 윈도우 등의 OS에 임플란트를 몰래 심는 방법도 새롭게 익혔다. 그런 모든 활동 뒤에 스스로의 흔적을 감추는 방법들까지도 학습했다.
다크아울은 이런 NSA와 CIA의 흔적들이 다크웹에 어느 정도의 범위까지 펼쳐졌나 심도 있게 조사했다. 그러면서 “결과부터 말해 그 두 기관의 도구들이 다크웹 구석구석에까지 광범위하게 분포되어 있었다”고 한다. “그러면서 사이버 전투의 영역이 확장되었을 뿐만 아니라 그 방법까지도 크게 바뀌었습니다. 이전까지는 대단히 고급스러운, 최상위 수준에 있던 사이버 공격 단체들만 사용할 수 있었던 도구들이 보편화되었고, 공격자를 파악하고 추적하는 게 더 어려워졌습니다.”
현재 사이버전을 주도하는 곳은 미국, 러시아, 중국이다. 실력, 영향력, 자금력, 인재라는 측면 모두에서 두각을 나타내고 있다. “하지만 이 세 나라보다 약하다고 평가 받는 나라들도 빠르게 능력을 키워내고 있습니다. 이전까지는 이 세 곳만 가지고 있을 수 있던 도구들을 다크웹에서 구매할 수 있게 되었거든요. 그러나 아직까지 정확히 어떤 나라가 고급 도구들의 보편화로 가장 큰 이득을 보고 있는지는 알 수 없습니다.” 다크아울의 부회장인 앤드류 류만(Andrew Lewman)의 설명이다.
다크아울의 평가에 의하면 위 세 개 국가의 뒤를 바짝 좇고 있는 나라는 이스라엘, 독일, 영국이며, 그 바로 뒤로는 우크라이나, 프랑스, 이란, 인도가 있다고 한다. “순수 ‘위협’이라는 측면에서만 보자면 북한과 이란도 상위권에 포함되어야 합니다. 게다가 이 두 나라는 계속해서 상호 협력하면서 실력을 보완해가고 있습니다.”
또한 사우디아라비아의 움직임도 눈여겨 봐야 한다고 다크아울은 강조했다. “사우디아라비아와 같은 경우는 이전까지 전혀 사이버전에 개입하지 않았던 곳입니다. 그럴 능력 자체를 갖췄다는 걸 국제 무대에서 보여준 바가 없지요. 하지만 최근 돈으로 사이버 용병을 운영하기 시작했습니다. 돈이 충분한 국가라면 이런 식의 움직임을 취할 수도 있겠지요.”
다크웹 활용하기
다크아울의 연구 결과를 통해 드러나는 또 다른 사실은, 국가의 지원을 받는 사이버전 해커들도 다크웹을 이런 저런 방법으로 활용한다는 것이다. “특히 사회 기반 시설을 마비시키거나 정부 및 군의 주요 요소들을 타격하기 위한 공격을 실시할 때 다크웹을 많이 활용하는 것처럼 보였습니다. 이런 공격의 경우 정체가 발각되면 심각한 외교 문제가 생길 수 있기 때문에, 다크웹에서 흔히 유통되는 도구를 활용함으로써 정체를 감추려는 것이죠. 게다가 요즘 다크웹 도구들은 NSA와 CIA에서 유출된 것들을 기본 바탕으로 하고 있어서 기능도 부족하지 않고요.”
다크웹은 크리덴셜 등 공격에 필요한 각종 정보들을 구매할 수 있는 장소이기도 하다. 정부 요원이나 공직자의 크리덴셜을 확보하는 데 성공하기라도 한다면, 보안 장치에 전혀 탐지되지 않고 정상적으로 로그인한 뒤 악성 행위들을 할 수 있게 된다.
“다크웹에는 .gov라고 된 이메일 주소 정보가 가득합니다. 공격자들은 이걸 구매한 뒤 브루트포스 공격이나 표적형 피싱 공격도 할 수 있습니다.” 다크아울에 의하면 .gov 이메일 주소 정보를 판매하는 거래 페이지가 50만 개가 넘는다고 한다. “앞으로도 사이버 테러리스트나 사이버전 공격자들은 다크웹을 더 많이 활용할 것으로 예상하고 있습니다.”
3줄 요약
1. 몇년 전 NSA와 CIA의 도구들이 공개되면서 사이버전이 상향평준화 됨.
2. 그래도 가장 앞서가는 국가는 중국, 미국, 러시아.
3. 사이버전 공격자들의 다크웹 사랑, 앞으로 더 커질 예정.
[국제부 문가용 기자(globoan@boannews.com)]
다크웹에서 이 도구들을 기반으로 한 해킹 툴 및 전략, 다수 거래되고 있어
[보안뉴스 문가용 기자] 2016년과 2017년 NSA와 CIA의 비밀 해킹 툴이 공개되면서 각 나라의 정부 지원을 받는 해커들의 실력이 전반적으로 올라갔다는 보고서를 위협 첩보 분석 전문 업체인 다크아울(DarkOwl)이 발표했다. 최근 다크웹을 샅샅이 조사해서 발견한 ‘사이버전용’ 도구들을 분석한 결과라고 한다.
[이미지 = iclickart]
NSA와 CIA의 기밀들은 각각 셰도우 브로커스(Shadow Brokers)와 위키리크스(WikiLeaks)라는 단체가 공개했다. 그 공개 과정 중에 NSA의 대량 감시 시스템인 유나이트드레이크(UNITEDRAKE)와 다중 플랫폼 CIA 멀웨어인 하이버(HIVE)가 세상에 그 모습을 드러내기도 했다. 그 외에도 추적과 감시를 엉뚱한 곳으로 돌리게 해주는 각종 사이버 공격 전략들도 함께 유출됐다.
미국 최고 정보 기관들이 개발하고 활용한 무기가 낱낱이 공개되면서 사이버 공격자들은 텍스트, 영상, 이미지를 획득하는 새로운 방법들을 알게 되었다. 그저 컴퓨터에서만 그런 정보들을 빼내는 게 아니라 사물인터넷 장비, 스마트 TV 등과 같은 최신 기계들도 공략할 수 있게 됐다. 스마트 차량을 공격하고, 윈도우 등의 OS에 임플란트를 몰래 심는 방법도 새롭게 익혔다. 그런 모든 활동 뒤에 스스로의 흔적을 감추는 방법들까지도 학습했다.
다크아울은 이런 NSA와 CIA의 흔적들이 다크웹에 어느 정도의 범위까지 펼쳐졌나 심도 있게 조사했다. 그러면서 “결과부터 말해 그 두 기관의 도구들이 다크웹 구석구석에까지 광범위하게 분포되어 있었다”고 한다. “그러면서 사이버 전투의 영역이 확장되었을 뿐만 아니라 그 방법까지도 크게 바뀌었습니다. 이전까지는 대단히 고급스러운, 최상위 수준에 있던 사이버 공격 단체들만 사용할 수 있었던 도구들이 보편화되었고, 공격자를 파악하고 추적하는 게 더 어려워졌습니다.”
현재 사이버전을 주도하는 곳은 미국, 러시아, 중국이다. 실력, 영향력, 자금력, 인재라는 측면 모두에서 두각을 나타내고 있다. “하지만 이 세 나라보다 약하다고 평가 받는 나라들도 빠르게 능력을 키워내고 있습니다. 이전까지는 이 세 곳만 가지고 있을 수 있던 도구들을 다크웹에서 구매할 수 있게 되었거든요. 그러나 아직까지 정확히 어떤 나라가 고급 도구들의 보편화로 가장 큰 이득을 보고 있는지는 알 수 없습니다.” 다크아울의 부회장인 앤드류 류만(Andrew Lewman)의 설명이다.
다크아울의 평가에 의하면 위 세 개 국가의 뒤를 바짝 좇고 있는 나라는 이스라엘, 독일, 영국이며, 그 바로 뒤로는 우크라이나, 프랑스, 이란, 인도가 있다고 한다. “순수 ‘위협’이라는 측면에서만 보자면 북한과 이란도 상위권에 포함되어야 합니다. 게다가 이 두 나라는 계속해서 상호 협력하면서 실력을 보완해가고 있습니다.”
또한 사우디아라비아의 움직임도 눈여겨 봐야 한다고 다크아울은 강조했다. “사우디아라비아와 같은 경우는 이전까지 전혀 사이버전에 개입하지 않았던 곳입니다. 그럴 능력 자체를 갖췄다는 걸 국제 무대에서 보여준 바가 없지요. 하지만 최근 돈으로 사이버 용병을 운영하기 시작했습니다. 돈이 충분한 국가라면 이런 식의 움직임을 취할 수도 있겠지요.”
다크웹 활용하기
다크아울의 연구 결과를 통해 드러나는 또 다른 사실은, 국가의 지원을 받는 사이버전 해커들도 다크웹을 이런 저런 방법으로 활용한다는 것이다. “특히 사회 기반 시설을 마비시키거나 정부 및 군의 주요 요소들을 타격하기 위한 공격을 실시할 때 다크웹을 많이 활용하는 것처럼 보였습니다. 이런 공격의 경우 정체가 발각되면 심각한 외교 문제가 생길 수 있기 때문에, 다크웹에서 흔히 유통되는 도구를 활용함으로써 정체를 감추려는 것이죠. 게다가 요즘 다크웹 도구들은 NSA와 CIA에서 유출된 것들을 기본 바탕으로 하고 있어서 기능도 부족하지 않고요.”
다크웹은 크리덴셜 등 공격에 필요한 각종 정보들을 구매할 수 있는 장소이기도 하다. 정부 요원이나 공직자의 크리덴셜을 확보하는 데 성공하기라도 한다면, 보안 장치에 전혀 탐지되지 않고 정상적으로 로그인한 뒤 악성 행위들을 할 수 있게 된다.
“다크웹에는 .gov라고 된 이메일 주소 정보가 가득합니다. 공격자들은 이걸 구매한 뒤 브루트포스 공격이나 표적형 피싱 공격도 할 수 있습니다.” 다크아울에 의하면 .gov 이메일 주소 정보를 판매하는 거래 페이지가 50만 개가 넘는다고 한다. “앞으로도 사이버 테러리스트나 사이버전 공격자들은 다크웹을 더 많이 활용할 것으로 예상하고 있습니다.”
3줄 요약
1. 몇년 전 NSA와 CIA의 도구들이 공개되면서 사이버전이 상향평준화 됨.
2. 그래도 가장 앞서가는 국가는 중국, 미국, 러시아.
3. 사이버전 공격자들의 다크웹 사랑, 앞으로 더 커질 예정.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
