공격자를 가리키는 것들은 한두 가지가 아니다. 물론 공격자들도 이를 알고 미리부터 자신들의 흔적을 지워내려 하지만 모든 걸 깔끔하게 치워낼 수는 없다. 그렇기에 여전히 찾아내야 할 것들이 있다.
[보안뉴스=찰스 가르조니 부 CISO, Centene Corporation] 어느 범죄 사건이나 그렇듯, 사람들은 ‘누가 그랬는가?’에 많은 관심을 보인다. 수사의 관점에서 이 궁금증은 나쁜 것이 아니다. 공격을 가한 사람이나 단체를 알아야 법적, 정치적, 외교적 조치를 취할 수 있게 되고, 그런 조치들이 있어야 후속 공격의 가능성을 조금이라도 낮출 수 있게 되니까 말이다.
[이미지 = gettyimagesbank]
그러나 공격자를 알아낸다는 건 기술적으로나 첩보 분석적으로나 꽤나 난이도가 높은 일이다. 그렇기 때문에 광범위한 곳에서부터 정보를 추출하고, 첩보를 얻어내며, 이를 서로 연계하여 통찰을 얻어내는 과정이 필요하다. 공격자들은 이런 일이 어떻게 진행되고 있는지 잘 알고 있으며, 그렇기 때문에 자신들을 파악하고자 하는 이런 노력을 어떻게 훼방할 수 있는지도 이해하고 있다. 그래서 사건의 조사는 점점 더 힘들어지고 있다. 사건을 일으키는 쪽이나 그 사건을 조사하는 쪽이나, 인적 요소들과도 상당히 얽히는데, 그렇기 때문에 FBI나 CIA와 같은 사법기관들의 역할이 대단히 중요하다 할 수 있다.
누군가를 보안 사건의 용의자로 지목하는 데에는 여러 가지 요소들이 작용하기 마련인데, 이것들이 사건마다 죄다 다르고 다양하긴 하지만 그럼에도 전반적으로 겹치는 것들이 존재하긴 한다. 그것들을 몇 가지 알아두면 사건 조사와 방어 대책 수립에 도움이 될 것이다.
범죄피해자학
조사를 진행하는 자의 입장에서 가장 먼저 접하게 되는 건 피해자다. 피해자에 대해서 정보를 수집하고 분석하다보면 예상 외의 결과나 통찰을 얻어낼 수가 있게 된다. 이는 저 먼 옛날에 작성된 손자병법에도 나와 있는 이치다. “적을 알면 백 번의 전투를 이긴다. 하지만 자신을 알면 천 번의 전투를 이긴다.” 공격자-피해자 구도에서 피해자를 안다는 건, 자신을 안다는 것과 다름이 없다. 피해자 기업은 어떤 물건을 생산하는가? 어떤 서비스를 만들어내는가? 고객들은 주로 어떤 사람/조직들인가? 임원진들 중 원한을 산 사람이 있는가? 유명해서 범죄자들의 먹잇감이 될 만한 인물이 있는가? 정부 기관과 연계된 사업을 하는가? 지적재산을 노리는 자들이 많은가? 이런 질문들을 묻다 보면 의외의 답에 도달한다.
도구
조사를 진행하다 보면 공격자들이 사용했던 혹은 사용했을 가능성이 높은 도구들을 발견하게 된다. 이 도구들도 매우 중요한 단서를 제공한다. 공격자는 어떤 도구를 사용했는가? 오픈소스인가? 오픈소스에 살짝 변경을 가했는가? 혹시 공격자들 스스로 만든 것으로 보이는가? 이 도구는 흔히 사용되는 것인가, 아니면 처음 보는 것인가? 최근 공격자들은 도구의 흔적을 잘 지워내기도 하고, 포렌식 과정에서 예기치 않게 도구들이 삭제되기도 한다. 또 한 가지 도구만 사용하는 범죄 조직도 이제는 거의 없고, 목적과 피해자에 따라 다양한 도구들을 사용하는 추세다. 따라서 도구만 가지고 범인을 지목하게 될 일은 거의 없지만, 다른 정보들과 합쳐졌을 때 용의자의 범위를 좁혀주는 역할을 할 수는 있다.
시간
대부분의 공격자들은 피해자들의 환경 안에 오래 머무르려 한다. 최대한 들키지 않고 오래 버틸 수 있어야 자신들이 하고 싶은 일을 할 확률이 높아진다. 또한 피해자의 자원을 자신들의 목적에 알맞게 악용하려면, 피해자의 자원에 대해 잘 알아야 하는데, 이를 위해서도 잔류 기간이 길어야 한다. 오래 머물려면 들키지 않는 게 중요하다. 고도의 전술과 전략, 기술력을 요하기도 하고, 가시적 성과없이 버텨내려면 자원도 풍부히 갖추고 있어야 한다. 그러니 공격자들이 머무른 시간을 알아낸다면 공격자들의 의도, 수준, 배후 지원 세력의 유무 정도를 유추할 수 있게 된다. 예를 들어 APT 단체라면 체류 시간이 길어지고, 단순 아마추어 해킹 범죄 조직이라면 짧아진다. 시간을 돈처럼 여기는 랜섬웨어 집단이라면 체류 시간이 길 이유가 별로 없기도 하다.
공격 인프라
공격 도구가 피해자의 시스템에 그냥 도달하지 않는다. 반드시 뭔가를 거치는데, 이 뭔가를 ‘공격 인프라’라고 부른다. 이 공격 인프라를 조사하고 분석하는 것도 대단히 중요한 일이다. 특히 C&C 기능이 어떤 식으로 수행되고 있는지를 파악하는 게 중요하다. 공격 인프라를 대여하는 범죄 사업자들의 것을 빌려다 썼는가? VPS나 VPN으로 분류되는 네트워크가 이용됐는가? 정상적인 시스템을 침해하여 봇넷으로 만들었는가? 토르 등의 익명 네트워크가 사용됐는가? C&C가 어떤 식으로 기능하는가? 자신들만의 독특한 공격 인프라를 만드는 사례라면 공격자를 지목하는 게 한결 쉬워진다. 하지만 기성품(?)을 대여하는 공격자라면 추적이 어렵다.
구축
인프라와 도구를 아는 것만으로도 공격자에 대해 많은 것을 알게 되지만 충분하지는 않다. 공격을 실제로 실행하는 데 있어 이 도구와 인프라를 실제로 어떻게 구축하여 활용했는지도 반드시 알아야 한다. 즉 공격자들이 어떤 절차와 기술과 전략을 통해 목적을 달성했는지가 중요하다는 것이다. 이를 조사하면 공격자들이 우리 회사를 의도적으로 노린 것인지, 아니면 전혀 엉뚱하게 우리가 당해 준 것인지를 파악하는 게 가능하다. 만약 데이터가 빠져나갔다면 어떤 데이터가 어떤 과정과 기술을 통해 유출됐는지도 상세히 파악해야 한다. 이 역시 공격자들이 우연히 들어와 마구잡이로 뭔가를 빼간 것인지, 아니면 작정하고 노린 것인지를 아는 데 도움이 된다.
공격자들이 네트워크 안에서 횡적으로 움직였다면, 그 방법을 조사하는 것도 대단히 중요하다. 요즘 공격자들은 정상적인 직원용 계정을 훔쳐 사용하는 추세인데, 어떤 임직원의 계정이 탈취되었는지까지 알게 된다면 후속 조치를 취하기가 한결 쉬워진다. 순식간에 쳐들어와 이미 보유하고 있는 계정 정보로 로그인 해 모든 것을 가져간 뒤 재빨리 사라지는 식의 공격 기법도 있는데, 계정 관리만 평소에 잘 해도 이 공격의 성공 가능성을 낮출 수 있다.
그 다음
이런 과정들을 통해 필요한 첩보와 증거들을 어느 정도 확보했다면, 그 다음으로는 이런 것들을 검토해야 한다.
1) 내가 가지고 있는 정보는 정확한가?
2) 혹시 중간에 빠진 것이나, 간과한 것은 없는가?
3) 이 정보들이 가리키는 해킹 조직들에는 어떤 것들이 있는가?
4) 전혀 새로운 특성의 조직이 배후에 있는 것으로 보이는가?
그 어떤 조사관도 숨겨진 단서들을 전부 찾아낼 수는 없다. 해커들은 자신들의 흔적을 지우고 도망치는 데 점점 더 능숙해지고 있어 더 그렇다. 분명히 이 정보가 알려주는 사실과 저 정보가 가리키는 사실 사이에 간극이 있어 보일 때가 있을 것이다. 그 간극 때문에 결론의 설득력이 떨어지는 것도 포렌식 분야에서는 흔히 경험하는 일이다. 정부 기관에 신고하며 그 동안 모은 정보를 제출하면, 그 간극과 관련된 추가 정보를 요구받는 일도 흔하다. 그 간극을 메우는 것이 이 이후에 이어지는 일이다.
그래서
많은 보안 업체나 정부 기관들이 범인의 이름을 서둘러 공표하고 싶어한다. 그러면서 방금 전에 언급한 정보와 정보 사이의 ‘간극’이 제대로 채워지지 않는다. 운이 좋아 범인이 맞아 떨어질 때도 있지만, 이 간극을 메우지 않고 서둘러 발표부터 하다가 오히려 역풍을 맞기도 한다. 보안 업체라면 업체 신뢰도가 손상되기도 하고, 정부라면 외교적 불화의 빌미를 제공하기도 한다. 상대가 할 말 없게 만드는 증거가 있다면 입지 않아도 될 피해를 추가로 입는 것이다.
그러므로 누군가를 범인으로 지적한다는 건 대단히 조심스럽게, 모든 기술력과 주의력을 총 동원해서 진행해야 한다. 괜히 정부 기관과 민간 업체가 수년 동안 조사한 후에야 특정 나라의 이름을 공식적으로 거론하는 게 아니다.
범인을 찾아내는 것의 핵심은 ‘공조’다. 어느 정부 기관 하나, 어느 보안 업체 하나가 단독으로 모든 정보를 입수하기란 불가능에 가깝다. 최대한 많은 정보를 수집하여 그것을 하나로 엮어내야 범인의 윤곽이 보다 뚜렷하게 드러나고, 적은 정보를 가지고 성급하게 결론을 내면 논리에서 구멍만 숭숭 뚫린다. 그 구멍은 오히려 공격자를 유리하게 만들고 피해자를 더 불리하게 만들 수 있다. 그 무엇보다 범인 지목에 있어서만큼은 협력 체계가 절실히 필요하다.
글 : 찰스 가르조니(Charles A. Garzoni), 부 CISO, Centene Corporation
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=찰스 가르조니 부 CISO, Centene Corporation] 어느 범죄 사건이나 그렇듯, 사람들은 ‘누가 그랬는가?’에 많은 관심을 보인다. 수사의 관점에서 이 궁금증은 나쁜 것이 아니다. 공격을 가한 사람이나 단체를 알아야 법적, 정치적, 외교적 조치를 취할 수 있게 되고, 그런 조치들이 있어야 후속 공격의 가능성을 조금이라도 낮출 수 있게 되니까 말이다.
[이미지 = gettyimagesbank]
그러나 공격자를 알아낸다는 건 기술적으로나 첩보 분석적으로나 꽤나 난이도가 높은 일이다. 그렇기 때문에 광범위한 곳에서부터 정보를 추출하고, 첩보를 얻어내며, 이를 서로 연계하여 통찰을 얻어내는 과정이 필요하다. 공격자들은 이런 일이 어떻게 진행되고 있는지 잘 알고 있으며, 그렇기 때문에 자신들을 파악하고자 하는 이런 노력을 어떻게 훼방할 수 있는지도 이해하고 있다. 그래서 사건의 조사는 점점 더 힘들어지고 있다. 사건을 일으키는 쪽이나 그 사건을 조사하는 쪽이나, 인적 요소들과도 상당히 얽히는데, 그렇기 때문에 FBI나 CIA와 같은 사법기관들의 역할이 대단히 중요하다 할 수 있다.
누군가를 보안 사건의 용의자로 지목하는 데에는 여러 가지 요소들이 작용하기 마련인데, 이것들이 사건마다 죄다 다르고 다양하긴 하지만 그럼에도 전반적으로 겹치는 것들이 존재하긴 한다. 그것들을 몇 가지 알아두면 사건 조사와 방어 대책 수립에 도움이 될 것이다.
범죄피해자학
조사를 진행하는 자의 입장에서 가장 먼저 접하게 되는 건 피해자다. 피해자에 대해서 정보를 수집하고 분석하다보면 예상 외의 결과나 통찰을 얻어낼 수가 있게 된다. 이는 저 먼 옛날에 작성된 손자병법에도 나와 있는 이치다. “적을 알면 백 번의 전투를 이긴다. 하지만 자신을 알면 천 번의 전투를 이긴다.” 공격자-피해자 구도에서 피해자를 안다는 건, 자신을 안다는 것과 다름이 없다. 피해자 기업은 어떤 물건을 생산하는가? 어떤 서비스를 만들어내는가? 고객들은 주로 어떤 사람/조직들인가? 임원진들 중 원한을 산 사람이 있는가? 유명해서 범죄자들의 먹잇감이 될 만한 인물이 있는가? 정부 기관과 연계된 사업을 하는가? 지적재산을 노리는 자들이 많은가? 이런 질문들을 묻다 보면 의외의 답에 도달한다.
도구
조사를 진행하다 보면 공격자들이 사용했던 혹은 사용했을 가능성이 높은 도구들을 발견하게 된다. 이 도구들도 매우 중요한 단서를 제공한다. 공격자는 어떤 도구를 사용했는가? 오픈소스인가? 오픈소스에 살짝 변경을 가했는가? 혹시 공격자들 스스로 만든 것으로 보이는가? 이 도구는 흔히 사용되는 것인가, 아니면 처음 보는 것인가? 최근 공격자들은 도구의 흔적을 잘 지워내기도 하고, 포렌식 과정에서 예기치 않게 도구들이 삭제되기도 한다. 또 한 가지 도구만 사용하는 범죄 조직도 이제는 거의 없고, 목적과 피해자에 따라 다양한 도구들을 사용하는 추세다. 따라서 도구만 가지고 범인을 지목하게 될 일은 거의 없지만, 다른 정보들과 합쳐졌을 때 용의자의 범위를 좁혀주는 역할을 할 수는 있다.
시간
대부분의 공격자들은 피해자들의 환경 안에 오래 머무르려 한다. 최대한 들키지 않고 오래 버틸 수 있어야 자신들이 하고 싶은 일을 할 확률이 높아진다. 또한 피해자의 자원을 자신들의 목적에 알맞게 악용하려면, 피해자의 자원에 대해 잘 알아야 하는데, 이를 위해서도 잔류 기간이 길어야 한다. 오래 머물려면 들키지 않는 게 중요하다. 고도의 전술과 전략, 기술력을 요하기도 하고, 가시적 성과없이 버텨내려면 자원도 풍부히 갖추고 있어야 한다. 그러니 공격자들이 머무른 시간을 알아낸다면 공격자들의 의도, 수준, 배후 지원 세력의 유무 정도를 유추할 수 있게 된다. 예를 들어 APT 단체라면 체류 시간이 길어지고, 단순 아마추어 해킹 범죄 조직이라면 짧아진다. 시간을 돈처럼 여기는 랜섬웨어 집단이라면 체류 시간이 길 이유가 별로 없기도 하다.
공격 인프라
공격 도구가 피해자의 시스템에 그냥 도달하지 않는다. 반드시 뭔가를 거치는데, 이 뭔가를 ‘공격 인프라’라고 부른다. 이 공격 인프라를 조사하고 분석하는 것도 대단히 중요한 일이다. 특히 C&C 기능이 어떤 식으로 수행되고 있는지를 파악하는 게 중요하다. 공격 인프라를 대여하는 범죄 사업자들의 것을 빌려다 썼는가? VPS나 VPN으로 분류되는 네트워크가 이용됐는가? 정상적인 시스템을 침해하여 봇넷으로 만들었는가? 토르 등의 익명 네트워크가 사용됐는가? C&C가 어떤 식으로 기능하는가? 자신들만의 독특한 공격 인프라를 만드는 사례라면 공격자를 지목하는 게 한결 쉬워진다. 하지만 기성품(?)을 대여하는 공격자라면 추적이 어렵다.
구축
인프라와 도구를 아는 것만으로도 공격자에 대해 많은 것을 알게 되지만 충분하지는 않다. 공격을 실제로 실행하는 데 있어 이 도구와 인프라를 실제로 어떻게 구축하여 활용했는지도 반드시 알아야 한다. 즉 공격자들이 어떤 절차와 기술과 전략을 통해 목적을 달성했는지가 중요하다는 것이다. 이를 조사하면 공격자들이 우리 회사를 의도적으로 노린 것인지, 아니면 전혀 엉뚱하게 우리가 당해 준 것인지를 파악하는 게 가능하다. 만약 데이터가 빠져나갔다면 어떤 데이터가 어떤 과정과 기술을 통해 유출됐는지도 상세히 파악해야 한다. 이 역시 공격자들이 우연히 들어와 마구잡이로 뭔가를 빼간 것인지, 아니면 작정하고 노린 것인지를 아는 데 도움이 된다.
공격자들이 네트워크 안에서 횡적으로 움직였다면, 그 방법을 조사하는 것도 대단히 중요하다. 요즘 공격자들은 정상적인 직원용 계정을 훔쳐 사용하는 추세인데, 어떤 임직원의 계정이 탈취되었는지까지 알게 된다면 후속 조치를 취하기가 한결 쉬워진다. 순식간에 쳐들어와 이미 보유하고 있는 계정 정보로 로그인 해 모든 것을 가져간 뒤 재빨리 사라지는 식의 공격 기법도 있는데, 계정 관리만 평소에 잘 해도 이 공격의 성공 가능성을 낮출 수 있다.
그 다음
이런 과정들을 통해 필요한 첩보와 증거들을 어느 정도 확보했다면, 그 다음으로는 이런 것들을 검토해야 한다.
1) 내가 가지고 있는 정보는 정확한가?
2) 혹시 중간에 빠진 것이나, 간과한 것은 없는가?
3) 이 정보들이 가리키는 해킹 조직들에는 어떤 것들이 있는가?
4) 전혀 새로운 특성의 조직이 배후에 있는 것으로 보이는가?
그 어떤 조사관도 숨겨진 단서들을 전부 찾아낼 수는 없다. 해커들은 자신들의 흔적을 지우고 도망치는 데 점점 더 능숙해지고 있어 더 그렇다. 분명히 이 정보가 알려주는 사실과 저 정보가 가리키는 사실 사이에 간극이 있어 보일 때가 있을 것이다. 그 간극 때문에 결론의 설득력이 떨어지는 것도 포렌식 분야에서는 흔히 경험하는 일이다. 정부 기관에 신고하며 그 동안 모은 정보를 제출하면, 그 간극과 관련된 추가 정보를 요구받는 일도 흔하다. 그 간극을 메우는 것이 이 이후에 이어지는 일이다.
그래서
많은 보안 업체나 정부 기관들이 범인의 이름을 서둘러 공표하고 싶어한다. 그러면서 방금 전에 언급한 정보와 정보 사이의 ‘간극’이 제대로 채워지지 않는다. 운이 좋아 범인이 맞아 떨어질 때도 있지만, 이 간극을 메우지 않고 서둘러 발표부터 하다가 오히려 역풍을 맞기도 한다. 보안 업체라면 업체 신뢰도가 손상되기도 하고, 정부라면 외교적 불화의 빌미를 제공하기도 한다. 상대가 할 말 없게 만드는 증거가 있다면 입지 않아도 될 피해를 추가로 입는 것이다.
그러므로 누군가를 범인으로 지적한다는 건 대단히 조심스럽게, 모든 기술력과 주의력을 총 동원해서 진행해야 한다. 괜히 정부 기관과 민간 업체가 수년 동안 조사한 후에야 특정 나라의 이름을 공식적으로 거론하는 게 아니다.
범인을 찾아내는 것의 핵심은 ‘공조’다. 어느 정부 기관 하나, 어느 보안 업체 하나가 단독으로 모든 정보를 입수하기란 불가능에 가깝다. 최대한 많은 정보를 수집하여 그것을 하나로 엮어내야 범인의 윤곽이 보다 뚜렷하게 드러나고, 적은 정보를 가지고 성급하게 결론을 내면 논리에서 구멍만 숭숭 뚫린다. 그 구멍은 오히려 공격자를 유리하게 만들고 피해자를 더 불리하게 만들 수 있다. 그 무엇보다 범인 지목에 있어서만큼은 협력 체계가 절실히 필요하다.
글 : 찰스 가르조니(Charles A. Garzoni), 부 CISO, Centene Corporation
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
