.gif)
다크웹 사용자도 결국 사람... 반드시 반복되는 행동 양식 있어
6개월간 다크웹 포럼만 분석한 전문가, 11월 세부 내용 발표
[보안뉴스 문가용] 위협 첩보 전문업체인 리코디드퓨처(Recorded Future)의 CEO이자 공동 창립자인 크리스토퍼 알버그(Christopher Ahlberg)는 다크웹에서의 사용자 행동을 분석함으로써 사이버 범죄자들의 통신 패턴을 파악하는 게 가능하다고 발표했다. 특히 자연어 처리 방식, 시간적 패턴 분석, 소셜 네트워크 분석 등의 기법을 통해 다크웹에 있는 포럼과 해커의 행동을 분석하는 게 가능하다는 부분이 새로운 내용이다.
▲ 우리도 볼 줄 알거든?
이미 위협 첩보를 다루는 기업들 대부분은 다크웹을 탐색할 수 있는 전문가 혹은 경험자를 고용한다. 하지만 이런 사람들을 모시고 메시지 하나하나 혹은 포럼의 포스팅 하나하나 분석하지 않아도 효용 높은 결과를 얻을 수 있다는 게 알버그의 설명이다. “리코디드퓨처 역시 다크웹의 포럼 800여 개에서 데이터를 수집합니다. 그리고 이를 지역별, 언어권별, 산업별로 구분해서 정리하고 약 500~700개 서버에 저장합니다.”
이렇게 범죄자들을 추적하면서 그들의 궤적을 분석하는 걸 알버그는 ‘삶의 양식 분석’이라고 부른다. “한 명의 개인 혹은 특정 기준에 따라 분류된 개인들을 추적해서 행동 양식과 활동 범주 등 생활의 전체적인 그림을 그려나가는 거라고 보시면 됩니다.”
지난 6개월 동안 알버그는 다크웹에서나 일반 웹에서 3년 이상 존재해온 범죄 포럼들을 분석하는 일에만 매진했다. “미국, 러시아, 우크라이나, 중국, 이란, 팔레스타인 가자지구 등의 지역에서 발달한 포럼들이 특히 많았습니다.” 목적은 당연히 사이버 범죄자들의 행동 패턴을 분석하는 것이었다. 이런 분석 활동을 통해 불법적인 행위들을 발견하는 것은 물론 범죄자들이 어떤 방식으로 새로운 기술과 취약점을 공략해나가는지도 파악할 수 있었다.
보통 범죄자들은 한 개 이상의 포럼에서 활동하기 때문에 행동 양식을 발견하려면 제일 먼저 추적 대상의 ‘프로파일’부터 만들어야 한다고 알버그는 설명한다. “하지만 범죄자들이 보안을 제일 잘 지킨다는 건 상식이죠. 핸들(handle)을 바꿔서 종적을 감추기 일쑤입니다. 실명은 당연히 안 사용하고요. 잘못하다가는 추적 대상의 행적을 반밖에 좇지 못합니다. 그러면 잘못된 패턴 분석이 나오죠.”
이 문제를 해결하기 위해 알버그는 “수학적 집단화(mathematical clustering)”이라는 방법을 고안해 사용했다고 한다. “핸들의 활동을 충분히 관찰하고 다른 핸들과 비교함으로써 주인이 같은지 아닌지 확인하는 방법입니다. 저만 할 수 있는 방법도 아니고, 대부분 분석가들이라면 쉽게 할 수 있을 겁니다.” 이것이 바로 시간적 패턴 분석인데, 이에 대해 알버그는 추가로 설명을 이어나갔다.
“일단 전체적으로 봤을 때 사이버 범죄자 포럼은 주말 동안 활동량이 줄어듭니다. 화요일과 목요일이 제일 높고요. 이것이 범죄자들의 생활 양식을 그려나가는 데에 있어 하나의 퍼즐 조각이 됩니다. 어떤 포럼은 대낮 시간에 활동량이 급감하기도 하는데, 이는 그 포럼 사용자들이 낮에 정상적으로 회사에서 근무하는 사람일 가능성이 높다는 것이겠죠.”
재미있는 건 산업계 소식에 범죄자 포럼 역시 민감하게 반응한다는 것이다. “(그들 기준에서) 바깥 세상의 소식에 어떻게 반응하는지 관찰함으로써 사이버 범죄자들이 어떤 것에 관심을 가지고 있는지를 파악할 수 있습니다. 마치 너구리굴에 연기 뿜어대는 것처럼 말이죠. 바깥 세상 소식을 연기처럼 집어넣어서 반응들을 이끌어내는 겁니다.”
이런 점과 시간 분석을 합치면 보다 선명한 결론이 나올 때도 있다. “예를 들어 수요일에 활동량이 늘어나는 포럼이 있습니다. 왜 그럴까요? MS와 어도비가 화요일에 대규모 패치를 주로 진행하기 때문이죠. 패치 튜즈데이(Patch Tuesday)가 다크웹에서는 익스플로잇 웬즈데이(Exploit Wednesday)가 되는 겁니다.”
알버그는 지난 6개월 동안 어떤 점들을 찾아냈을까? 아쉽지만 이에 대한 공개는 11월로 미뤄진다. 블랙햇 유럽 2016(Black Hat Europe 2016)에서 이 내용과 관련된 강연을 할 계획이기 때문이다. 본지 역시 11월에 다크웹에 행동 분석을 실시한 이 대담한 보안 전문가의 강연 내용을 보다 자세히 실을 예정이다. 오늘은 ‘우리도 역으로 그들을 분석할 수 있다’는 역발상까지만.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
6개월간 다크웹 포럼만 분석한 전문가, 11월 세부 내용 발표
[보안뉴스 문가용] 위협 첩보 전문업체인 리코디드퓨처(Recorded Future)의 CEO이자 공동 창립자인 크리스토퍼 알버그(Christopher Ahlberg)는 다크웹에서의 사용자 행동을 분석함으로써 사이버 범죄자들의 통신 패턴을 파악하는 게 가능하다고 발표했다. 특히 자연어 처리 방식, 시간적 패턴 분석, 소셜 네트워크 분석 등의 기법을 통해 다크웹에 있는 포럼과 해커의 행동을 분석하는 게 가능하다는 부분이 새로운 내용이다.
▲ 우리도 볼 줄 알거든?
이미 위협 첩보를 다루는 기업들 대부분은 다크웹을 탐색할 수 있는 전문가 혹은 경험자를 고용한다. 하지만 이런 사람들을 모시고 메시지 하나하나 혹은 포럼의 포스팅 하나하나 분석하지 않아도 효용 높은 결과를 얻을 수 있다는 게 알버그의 설명이다. “리코디드퓨처 역시 다크웹의 포럼 800여 개에서 데이터를 수집합니다. 그리고 이를 지역별, 언어권별, 산업별로 구분해서 정리하고 약 500~700개 서버에 저장합니다.”
이렇게 범죄자들을 추적하면서 그들의 궤적을 분석하는 걸 알버그는 ‘삶의 양식 분석’이라고 부른다. “한 명의 개인 혹은 특정 기준에 따라 분류된 개인들을 추적해서 행동 양식과 활동 범주 등 생활의 전체적인 그림을 그려나가는 거라고 보시면 됩니다.”
지난 6개월 동안 알버그는 다크웹에서나 일반 웹에서 3년 이상 존재해온 범죄 포럼들을 분석하는 일에만 매진했다. “미국, 러시아, 우크라이나, 중국, 이란, 팔레스타인 가자지구 등의 지역에서 발달한 포럼들이 특히 많았습니다.” 목적은 당연히 사이버 범죄자들의 행동 패턴을 분석하는 것이었다. 이런 분석 활동을 통해 불법적인 행위들을 발견하는 것은 물론 범죄자들이 어떤 방식으로 새로운 기술과 취약점을 공략해나가는지도 파악할 수 있었다.
보통 범죄자들은 한 개 이상의 포럼에서 활동하기 때문에 행동 양식을 발견하려면 제일 먼저 추적 대상의 ‘프로파일’부터 만들어야 한다고 알버그는 설명한다. “하지만 범죄자들이 보안을 제일 잘 지킨다는 건 상식이죠. 핸들(handle)을 바꿔서 종적을 감추기 일쑤입니다. 실명은 당연히 안 사용하고요. 잘못하다가는 추적 대상의 행적을 반밖에 좇지 못합니다. 그러면 잘못된 패턴 분석이 나오죠.”
이 문제를 해결하기 위해 알버그는 “수학적 집단화(mathematical clustering)”이라는 방법을 고안해 사용했다고 한다. “핸들의 활동을 충분히 관찰하고 다른 핸들과 비교함으로써 주인이 같은지 아닌지 확인하는 방법입니다. 저만 할 수 있는 방법도 아니고, 대부분 분석가들이라면 쉽게 할 수 있을 겁니다.” 이것이 바로 시간적 패턴 분석인데, 이에 대해 알버그는 추가로 설명을 이어나갔다.
“일단 전체적으로 봤을 때 사이버 범죄자 포럼은 주말 동안 활동량이 줄어듭니다. 화요일과 목요일이 제일 높고요. 이것이 범죄자들의 생활 양식을 그려나가는 데에 있어 하나의 퍼즐 조각이 됩니다. 어떤 포럼은 대낮 시간에 활동량이 급감하기도 하는데, 이는 그 포럼 사용자들이 낮에 정상적으로 회사에서 근무하는 사람일 가능성이 높다는 것이겠죠.”
재미있는 건 산업계 소식에 범죄자 포럼 역시 민감하게 반응한다는 것이다. “(그들 기준에서) 바깥 세상의 소식에 어떻게 반응하는지 관찰함으로써 사이버 범죄자들이 어떤 것에 관심을 가지고 있는지를 파악할 수 있습니다. 마치 너구리굴에 연기 뿜어대는 것처럼 말이죠. 바깥 세상 소식을 연기처럼 집어넣어서 반응들을 이끌어내는 겁니다.”
이런 점과 시간 분석을 합치면 보다 선명한 결론이 나올 때도 있다. “예를 들어 수요일에 활동량이 늘어나는 포럼이 있습니다. 왜 그럴까요? MS와 어도비가 화요일에 대규모 패치를 주로 진행하기 때문이죠. 패치 튜즈데이(Patch Tuesday)가 다크웹에서는 익스플로잇 웬즈데이(Exploit Wednesday)가 되는 겁니다.”
알버그는 지난 6개월 동안 어떤 점들을 찾아냈을까? 아쉽지만 이에 대한 공개는 11월로 미뤄진다. 블랙햇 유럽 2016(Black Hat Europe 2016)에서 이 내용과 관련된 강연을 할 계획이기 때문이다. 본지 역시 11월에 다크웹에 행동 분석을 실시한 이 대담한 보안 전문가의 강연 내용을 보다 자세히 실을 예정이다. 오늘은 ‘우리도 역으로 그들을 분석할 수 있다’는 역발상까지만.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
