여러 제재 조치와 함께 발간한 對 러시아 해킹 보고서, 내용 부실
여러 결재선 거치며 알짜배기 정보 삭제되었을 것이라 추측하기도
[보안뉴스 문가용 기자] 지난 주 미국 국토안보부(DHS)와 FBI가 함께 발표한 합동 분석 보고서(Joint Analysis Report, JAR)에는 러시아 해커들이 작년 치러진 미국 대통령 선거에 영향을 주기 위해 어떤 식으로 공격을 가했는지를 상세히 기술하고 있다. 하지만 이를 살펴본 전문가들은 고개를 갸웃거린다.
.jpg)
▲ 그럼 그렇지...
일단 이번 보고서를 발표하면서 미국 정부는 “여태까지 기밀 사항에 해당했던 러시아의 민간인 해커들 및 군사 첩보 기관의 해커들이 수행하는 악성 사이버 활동에 대한 정보를 공개함으로써 미국 내 각 조직의 보안 능력을 강화시키려고 한다”고 설명한 바 있다. 특히 그리즐리 스텝(Grizzly Steppe)이라고 불리는 사이버 작전 및 공격 캠페인에 대해 올바른 면역력을 갖추게 하는 것이 그 목표라고 밝혔다.
하지만 해당 보고서의 정보만으로 미국 정부가 말하는 것만큼 방어력이 올라간다든가 면역력이 커지기는 어렵다는 게 보고서를 검토한 전문가들의 의견이다. 게다가 일부 전문가들은 “코지 베어(Cozy Bear, APT29)와 팬시 베어(Fancy Bear, APT28)가 미국 대선에 영향을 주기 위해 개입했다는 오바마 정부의 주장에 대한 근거라고 나온 내용이 너무 부실해서, 정말 러시아가 개입한 게 맞는가 하는 의심이 들 정도”라고까지 평한다.
보안 전문가인 로버트 그러햄(Robert Graham)은 “FBI와 DHS가 보고서를 통해 여러 침해지표(IOC)를 제시하는데, 지표 수준이 매우 낮다”며 “그래서 보안 담당자로서는 별 쓸모가 없다”고 말한다. “그냥 러시아가 해킹을 했다는 정치적 주장을 하기 위해 명목상 집어넣은 정보들이지, 실제적이거나 기술적인 의미를 가지고 있지 않습니다.”
그러햄은 보고서에 나온 야라 규칙(YARA Rule)을 예로 든다. 야라 규칙은 보안 전문가들이 파일을 분류하고 감염된 시스템을 분석해 해킹 시도의 진원지를 파악하는 데 사용되는 툴이다. 이번 보고서에 등장한 야라 규칙은 러시아와 우크라이나 해커들이 즐겨 사용하는 PAS TOOL WEB KIT에 대한 탐지에 특화되어 있는 것이다.
그러나 그러햄은 “야라 규칙은 원래 해커들을 추적하기에 매우 효과적인 툴이긴 하다”고 설명한다. “해커들은 자기가 자주 사용하는 방법을 계속해서 사용하는 습관을 가지고 있기 때문”이다. 문제는 이번 보고서에 제시된 야라 규칙이 추적하는 PAS 웹 쉘이 사실 수백에서 수천 명의 해커들이 사용하는 것이라 “추적의 기능을 사실상 발휘할 수 없다는 것”이다. 그렇기에 정부가 주장하는 것처럼 러시아의 개입을 증명하기는 더더욱 어렵다고 한다.
“정부가 기밀을 공개한다고까지 발표했지만, 이 보고서만 보고서는 도대체 뭘 어쩌라는 건지 알 수가 없습니다. 이런 수준의 침해지표를 어떻게 활용해야 하는지, 이렇게 약한 야라 규칙으로 어떤 방어를 실제 할 수 있는지까지 알려줘야 이번 보고서에 의미가 생길 것입니다.”
보안 전문업체인 드라고스(Dragos)의 CEO인 로버트 리(Robert Lee) 역시 이번 보고서에 대해 “허울만 좋지 내용은 부실하다”는 비판을 했다. “네트워크 방어를 견고하게 하는 데에 도움이 되지도 않은 정보들로만 가득하고, 러시아의 APT 공격 단체에 대한 새롭거나 매우 치명적인 정보를 공개한 것도 아닙니다. 이미 업계 내 종사자들이 다 알만한 내용을 반복한 것 뿐이죠. 그러면서도 일관되게 러시아가 나쁜 놈이라는 주장은 계속 흐르고 있고요.”
보고서에는 러시아가 사용하는 멀웨어나 사이버 해킹 전략 및 기술에 대한 그 어떤 상세 내용도 나오고 있지 않으며, 심지어 민간 기업들이 여태까지 몰랐던 새로운 내용은 단 한 글자도 없었다고 로버트는 설명한다. “게다가 별 연관성이 없는 정보들도 엮어서 문제의 본질을 흐리기까지 합니다. 출처도 밝히지 않은 데이터도 많고요. 분명하게 드러난 건 이 보고서의 정치적인 목적 뿐입니다.”
로버트는 8~13페이지까지 걸쳐서 나오는 ‘권장 조치 사항’이 너무 보편적인 내용이라며, 러시아 해커가 아니더라도 모든 사람이 사이버 보안을 위해 지켜야 할 기본 수칙들뿐이라고 설명한다. “최초 작성자나 담당자가 보안에 대해 잘 몰라서 이런 부실한 보고서가 나온 것 같지는 않다”고 말한다. “아마 수도 없이 많은 검토와 결재선을 거치면서 중요한 내용들이 삭제된 게 아닐까 합니다. 미국 정부 기관들이 대중에게 내놓는 문건들 중 이런 과정을 거치면서 질이 저하되는 경우를 많이 봤습니다.”
워드펜스(Wordfence)의 CEO인 마크 몬더(Mark Maunder)도 “보고서에 나온 876개 IP 주소들 중 134개가 토르 출구 노드”라며 “이는 즉 토르를 사용하는 모든 사람들에게 해당하는 정보”라고 설명한다. “최근 워드펜스에서 탐지한 공격들에 가장 활발히 활용되는 IP 주소들 중 상위 50가 토르 출구 노드입니다. 결국 134개 IP 주소 정보는 이 보고서의 목적에 전혀 부합하지 않은 정보라는 겁니다.”
아칼비오(Acalvio)의 CSA(최고전략 아키텍트)의 크리스 로버츠(Chris Roberts) 역시 “정부 최고 기관에서 내놓은 보고서라고 보기 힘들 정도로 낮은 수준의 보고서”라고 일축한다. “러시아를 지목했으면 그에 맞는 증거자료를 제시했어야 했는데, 러시아를 지목하고는 일반적인 APT 공격 보고서를 내놓았어요. 마치 지나가는 아이를 보며 ‘저 아이는 내 아들이 분명해, 왜냐하면 세상 모든 아이들은 너무 예쁘니까’라고 말하는 꼴이랄까요.”
파이어몬(FireMon)의 CTO인 폴 칼라타이우드(Paul Calatayud) 역시 “새로울 것이라고는 하나도 없는 보고서였다”며 “기술이면 기술, 전략이면 전략, 이미 숱하게 민간 업체들이 밝혀낸 것들 뿐”이었다고 말한다. “다만 러시아가 사이버 공격을 통해 미국 정치계를 직접 건드렸을 때 어떤 일이 발생하는지는 분명히 학습할 수 있었습니다. 그게 유일한 소득입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
여러 결재선 거치며 알짜배기 정보 삭제되었을 것이라 추측하기도
[보안뉴스 문가용 기자] 지난 주 미국 국토안보부(DHS)와 FBI가 함께 발표한 합동 분석 보고서(Joint Analysis Report, JAR)에는 러시아 해커들이 작년 치러진 미국 대통령 선거에 영향을 주기 위해 어떤 식으로 공격을 가했는지를 상세히 기술하고 있다. 하지만 이를 살펴본 전문가들은 고개를 갸웃거린다.
▲ 그럼 그렇지...
일단 이번 보고서를 발표하면서 미국 정부는 “여태까지 기밀 사항에 해당했던 러시아의 민간인 해커들 및 군사 첩보 기관의 해커들이 수행하는 악성 사이버 활동에 대한 정보를 공개함으로써 미국 내 각 조직의 보안 능력을 강화시키려고 한다”고 설명한 바 있다. 특히 그리즐리 스텝(Grizzly Steppe)이라고 불리는 사이버 작전 및 공격 캠페인에 대해 올바른 면역력을 갖추게 하는 것이 그 목표라고 밝혔다.
하지만 해당 보고서의 정보만으로 미국 정부가 말하는 것만큼 방어력이 올라간다든가 면역력이 커지기는 어렵다는 게 보고서를 검토한 전문가들의 의견이다. 게다가 일부 전문가들은 “코지 베어(Cozy Bear, APT29)와 팬시 베어(Fancy Bear, APT28)가 미국 대선에 영향을 주기 위해 개입했다는 오바마 정부의 주장에 대한 근거라고 나온 내용이 너무 부실해서, 정말 러시아가 개입한 게 맞는가 하는 의심이 들 정도”라고까지 평한다.
보안 전문가인 로버트 그러햄(Robert Graham)은 “FBI와 DHS가 보고서를 통해 여러 침해지표(IOC)를 제시하는데, 지표 수준이 매우 낮다”며 “그래서 보안 담당자로서는 별 쓸모가 없다”고 말한다. “그냥 러시아가 해킹을 했다는 정치적 주장을 하기 위해 명목상 집어넣은 정보들이지, 실제적이거나 기술적인 의미를 가지고 있지 않습니다.”
그러햄은 보고서에 나온 야라 규칙(YARA Rule)을 예로 든다. 야라 규칙은 보안 전문가들이 파일을 분류하고 감염된 시스템을 분석해 해킹 시도의 진원지를 파악하는 데 사용되는 툴이다. 이번 보고서에 등장한 야라 규칙은 러시아와 우크라이나 해커들이 즐겨 사용하는 PAS TOOL WEB KIT에 대한 탐지에 특화되어 있는 것이다.
그러나 그러햄은 “야라 규칙은 원래 해커들을 추적하기에 매우 효과적인 툴이긴 하다”고 설명한다. “해커들은 자기가 자주 사용하는 방법을 계속해서 사용하는 습관을 가지고 있기 때문”이다. 문제는 이번 보고서에 제시된 야라 규칙이 추적하는 PAS 웹 쉘이 사실 수백에서 수천 명의 해커들이 사용하는 것이라 “추적의 기능을 사실상 발휘할 수 없다는 것”이다. 그렇기에 정부가 주장하는 것처럼 러시아의 개입을 증명하기는 더더욱 어렵다고 한다.
“정부가 기밀을 공개한다고까지 발표했지만, 이 보고서만 보고서는 도대체 뭘 어쩌라는 건지 알 수가 없습니다. 이런 수준의 침해지표를 어떻게 활용해야 하는지, 이렇게 약한 야라 규칙으로 어떤 방어를 실제 할 수 있는지까지 알려줘야 이번 보고서에 의미가 생길 것입니다.”
보안 전문업체인 드라고스(Dragos)의 CEO인 로버트 리(Robert Lee) 역시 이번 보고서에 대해 “허울만 좋지 내용은 부실하다”는 비판을 했다. “네트워크 방어를 견고하게 하는 데에 도움이 되지도 않은 정보들로만 가득하고, 러시아의 APT 공격 단체에 대한 새롭거나 매우 치명적인 정보를 공개한 것도 아닙니다. 이미 업계 내 종사자들이 다 알만한 내용을 반복한 것 뿐이죠. 그러면서도 일관되게 러시아가 나쁜 놈이라는 주장은 계속 흐르고 있고요.”
보고서에는 러시아가 사용하는 멀웨어나 사이버 해킹 전략 및 기술에 대한 그 어떤 상세 내용도 나오고 있지 않으며, 심지어 민간 기업들이 여태까지 몰랐던 새로운 내용은 단 한 글자도 없었다고 로버트는 설명한다. “게다가 별 연관성이 없는 정보들도 엮어서 문제의 본질을 흐리기까지 합니다. 출처도 밝히지 않은 데이터도 많고요. 분명하게 드러난 건 이 보고서의 정치적인 목적 뿐입니다.”
로버트는 8~13페이지까지 걸쳐서 나오는 ‘권장 조치 사항’이 너무 보편적인 내용이라며, 러시아 해커가 아니더라도 모든 사람이 사이버 보안을 위해 지켜야 할 기본 수칙들뿐이라고 설명한다. “최초 작성자나 담당자가 보안에 대해 잘 몰라서 이런 부실한 보고서가 나온 것 같지는 않다”고 말한다. “아마 수도 없이 많은 검토와 결재선을 거치면서 중요한 내용들이 삭제된 게 아닐까 합니다. 미국 정부 기관들이 대중에게 내놓는 문건들 중 이런 과정을 거치면서 질이 저하되는 경우를 많이 봤습니다.”
워드펜스(Wordfence)의 CEO인 마크 몬더(Mark Maunder)도 “보고서에 나온 876개 IP 주소들 중 134개가 토르 출구 노드”라며 “이는 즉 토르를 사용하는 모든 사람들에게 해당하는 정보”라고 설명한다. “최근 워드펜스에서 탐지한 공격들에 가장 활발히 활용되는 IP 주소들 중 상위 50가 토르 출구 노드입니다. 결국 134개 IP 주소 정보는 이 보고서의 목적에 전혀 부합하지 않은 정보라는 겁니다.”
아칼비오(Acalvio)의 CSA(최고전략 아키텍트)의 크리스 로버츠(Chris Roberts) 역시 “정부 최고 기관에서 내놓은 보고서라고 보기 힘들 정도로 낮은 수준의 보고서”라고 일축한다. “러시아를 지목했으면 그에 맞는 증거자료를 제시했어야 했는데, 러시아를 지목하고는 일반적인 APT 공격 보고서를 내놓았어요. 마치 지나가는 아이를 보며 ‘저 아이는 내 아들이 분명해, 왜냐하면 세상 모든 아이들은 너무 예쁘니까’라고 말하는 꼴이랄까요.”
파이어몬(FireMon)의 CTO인 폴 칼라타이우드(Paul Calatayud) 역시 “새로울 것이라고는 하나도 없는 보고서였다”며 “기술이면 기술, 전략이면 전략, 이미 숱하게 민간 업체들이 밝혀낸 것들 뿐”이었다고 말한다. “다만 러시아가 사이버 공격을 통해 미국 정치계를 직접 건드렸을 때 어떤 일이 발생하는지는 분명히 학습할 수 있었습니다. 그게 유일한 소득입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
