최초 침투 이후 횡적으로 움직이는 건 까다로워...전체 평균 4시간 넘어
2위는 북한...2시간 20분 걸려...러시아는 들키는 걸 개의치 않기 때문에 가능
[보안뉴스 문가용 기자] 피해자 조직의 네트워크에 최초로 침투에 성공한 순간부터 네트워크 내로 퍼지기까지 걸리는 시간은 얼마일까? 러시아 정부의 지원을 받는 해커의 경우 단 19분이다. 이는 그 어떤 해커들보다 빠른 시간으로, 러시아의 해킹 부대가 얼마나 뛰어난 실력을 갖추고 있는지를 나타내는 지표 중 하나다.
[이미지 = iclickart]
이를 조사하고 발표한 건 보안 업체 크라우드스트라이크(CrowdStrike)로, 2018년 한 해 동안 크라우드스트라이크가 조사한 3만 여 건의 사이버 사건들을 분석한 결과다. 러시아가 압도적인 1위를 기록한 가운데 2위를 기록한 건 북한이다. 북한의 해커들이 최초 침투 후 확산에 걸리는 시간은 2시간 20분이라고 한다. 그 다음은 4시간이 걸리는 중국, 그 다음은 5시간 9분이 걸리는 이란이라고 한다.
크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)는 “결국 보안 전문가들이 은연중에 생각해왔던 것들이 확인됐다”며 “러시아가 횡적으로 움직이는 데에는 가장 빠르다는 것”이라고 설명했다. “다만 다른 나라 해커들과 비교했을 때 얼마나 더 빠른지는 아무도 몰랐죠. 이렇게까지나 압도적으로 빠를 줄은 상상도 못했습니다.”
사이버 범죄 및 공격을 하는 사람들은 대체적으로 횡적으로 움직이는 데 어려움을 느낀다. 국가 지원 해커가 아닌 일반 사이버 범죄자들의 경우 이번 조사에서 횡적으로 움직이는 데 걸리는 시간이 가장 느린 것으로 나타났다. 평균 9시간 42분이 걸린 것이다. 최초 침투로부터 확산하기까지 걸리는 전체 평균 시간은 4시간 30분이었다.
반면 2018년 동안 가장 많은 사이버전 활동을 벌인 건 중국이었다. 그럼에도 러시아가 가장 빠르게 횡적으로 움직이는 데 성공했다는 건, 러시아 공격자들의 수준이 최근 급성장했다는 걸 알 수 있게 해주는 대목이다. 러시아 해커들이라고 해서 이렇게까지 압도적으로 수준이 높았던 것은 아니다.
“러시아가 전략을 수정하면서 이런 방향으로 발전한 것으로 보입니다. 현재 러시아는 빠르게 치고 들어가 파괴한다는 노선을 잡고 사이버 공격을 실시하고 있습니다. 자신들의 정체가 식별이 되든 말든 상관이 없다는 태도죠.” 보안 업체 쓰레트스톱(ThreatStop)의 연구 책임자인 존 밤베넥(John Bambenek)의 설명이다. “사이버 공격을 하는 자들로서는 비정상적으로 움직인다고 봐도 될 정도입니다.”
실제로 최근 들어 러시아의 공격은 식별하는 게 훨씬 쉬워졌다. 빠르게 움직이고, 그 과정에서 실수의 확률이 높아졌기 때문이다. 밤베넥은 “조심하자는 기조가 아예 사라진 느낌이 들 정도입니다. 가서 부수자. 딱 이것만 머릿속에 있는 것 같아요. 그렇다고 해서 공격 효과가 없는 것도 아니고요. 게다가 미국과 러시아 간 범죄자 인도 협약을 맺고 있지 않아서 들켜도 상관이 없습니다.”
보안 업체 파이어아이(FireEye)의 CEO인 케빈 만디아(Kevin Mandia)는 “러시아가 이렇게까지 뻔뻔하게 움직이기 시작한 건 2014년 가을부터”라고 말한다. “그 즈음부터 우리(파이어아이)가 대응을 해도 공격을 중단하거나 도망가지 않더군요. 그 전까지는 수사가 시작되면 흔적을 감추고 사라졌거든요. 이제는 들키거나 말거나 할 걸 한다는 식으로 공격을 감행하고 있습니다.”
이런 식의 태도 변화는 다른 사이버 범죄자들에게서도 눈에 띄기 시작했다고 전문가들은 말한다. 보안 업체 오버왓치(OverWatch)의 부회장인 제니퍼 에이어스(Jennifer Ayers)는 “사이버 공격자들이 전체적으로 침투를 빠르게 성공시키고 있으며, 표적으로 삼은 네트워크에 거침없이 들어가고 있다”고 설명한다.
중국
그렇다면 중국은 왕성한 활동에도 불구하고 왜 비교적 느리게 움직이는 걸까? “중국 해커들은 최초 침투에 성공하고 나서는 한 발 뒤로 물러섭니다. 그런 다음 데이터를 더 모으고, 다음 공격 과정에 대한 전략을 세웁니다. 그러면서 예를 들면 특정 기계를 공략하기 위한 커널 모듈을 개발하거나 하죠. 그러니 시간이 걸릴 수밖에 없습니다.” 밤베넥의 설명이다.
중국은 원래 국가 경제 개발의 한 수단으로 해킹 공격을 감행해왔다. 그러나 2015년 오바마 전 대통령과 시진핑 주석이 사이버 공격을 서로 하지 말자는 협약을 맺은 후부터 한 동안 조용했다. 그러다가 작년부터 사이버 공격을 다시 증가시키기 시작했다. 알페로비치는 “중국이 다시 돌아왔다”며, “여러 산업군에서 중국의 정찰 행위가 눈에 띄기 시작했다”고 경고했다. “2018년 한 해 동안 사이버전의 주인공은 단연 중국이었습니다.”
2019년 현재까지도 중국은 가장 왕성한 활동을 하고 있는 사이버전 국가다. 파이어아이의 수석 사이버 정찰 분석가인 벤자민 리드(Benjamin Read)는 “하지만 효율성에 있어서는 러시아가 뛰어난 게 맞다”고 말한다. “사실 기술력에 있어서 러시아 해커들이 가장 뛰어난 게 사실입니다. 기술력이 좋으니 효율이 높을 수밖에 없죠. 현재 이 러시아 해커들은 유럽의 여러 조직들을 노리고 있습니다. 그리고 2020년 대선을 위한 움직임도 마련하고 있겠죠.”
방어는 어떻게 할까?
공격자가 평균 6개월 동안 네트워크에 머물러 공격을 해도 잡기가 힘든 판에, 이렇게 빨리 치고 들어오는 공격을 어떻게 막을 수 있을까? 크라우드스트라이크는 “방어자들은 제일 먼저 탐지, 수사, 수정, 복구에 걸리는 시간을 재보고, 그 시간을 공격자들의 평균 횡적 움직임 시간과 비교해보는 작업을 해야 한다”고 권장한다. 현재 능력을 알아야 한다는 것이다.
에이어스는 “보안 툴과 프로세스를 공격자들의 시간에 맞춰야 한다”고 말한다. “공격자들이 빠듯한 시간 안에 움직인다는 걸 고려해서 규칙들도 새롭게 설정해야 합니다. 특정 위협이나 징조가 발견됐을 때 어떤 식으로 움직일 것인지 미리 결정해두라는 겁니다. 예를 들어 멀웨어의 일부인 해시가 발견됐을 때는 즉각 차단하라는 식으로 말이죠. 또한 어떤 위협에 대해서 사건 대응을 시작해야 하는지, 외부 전문가를 초빙해야 하는지도 결정해두면 빠르게 움직이는 데 도움이 됩니다.”
밤베넥도 “결국 대응을 빨리하는 것이 러시아 해커들과 같이 기민한 움직임을 보이는 자들에 대한 대처법”이라고 말한다.
한편 크라우드스트라이크는 중국, 이란, 러시아의 해커들이 통신사들을 주로 공략한다는 걸 파악해내기도 했다. “인터넷의 제어 장치에 관심을 보이고 있는 것입니다. 이전에도 전쟁이 발발하면 전보망, 레이더망, 무선 주파수 등을 장악하려고 했죠. 그것과 같은 이치입니다. 지금 사이버 공간에서는 전쟁이 일어나고 있습니다.”
3줄 요약
1. 최초 침투 이후 네트워크 내 다른 곳으로 움직이는 건 해커들에게 어려운 일.
2. 그런데 러시아 해커들은 평균 19분 안에 이 일을 해냄. 들키는 걸 상관하지 않는 듯한 모습. 전체 평균 시간은 4시간 30분.
3. 가장 왕성한 활동력을 보여주는 건 중국의 해커. 굉장히 조심스럽게 움직임.
[국제부 문가용 기자(globoan@boannews.com)]
2위는 북한...2시간 20분 걸려...러시아는 들키는 걸 개의치 않기 때문에 가능
[보안뉴스 문가용 기자] 피해자 조직의 네트워크에 최초로 침투에 성공한 순간부터 네트워크 내로 퍼지기까지 걸리는 시간은 얼마일까? 러시아 정부의 지원을 받는 해커의 경우 단 19분이다. 이는 그 어떤 해커들보다 빠른 시간으로, 러시아의 해킹 부대가 얼마나 뛰어난 실력을 갖추고 있는지를 나타내는 지표 중 하나다.
[이미지 = iclickart]
이를 조사하고 발표한 건 보안 업체 크라우드스트라이크(CrowdStrike)로, 2018년 한 해 동안 크라우드스트라이크가 조사한 3만 여 건의 사이버 사건들을 분석한 결과다. 러시아가 압도적인 1위를 기록한 가운데 2위를 기록한 건 북한이다. 북한의 해커들이 최초 침투 후 확산에 걸리는 시간은 2시간 20분이라고 한다. 그 다음은 4시간이 걸리는 중국, 그 다음은 5시간 9분이 걸리는 이란이라고 한다.
크라우드스트라이크의 CTO인 드미트리 알페로비치(Dmitri Alperovitch)는 “결국 보안 전문가들이 은연중에 생각해왔던 것들이 확인됐다”며 “러시아가 횡적으로 움직이는 데에는 가장 빠르다는 것”이라고 설명했다. “다만 다른 나라 해커들과 비교했을 때 얼마나 더 빠른지는 아무도 몰랐죠. 이렇게까지나 압도적으로 빠를 줄은 상상도 못했습니다.”
사이버 범죄 및 공격을 하는 사람들은 대체적으로 횡적으로 움직이는 데 어려움을 느낀다. 국가 지원 해커가 아닌 일반 사이버 범죄자들의 경우 이번 조사에서 횡적으로 움직이는 데 걸리는 시간이 가장 느린 것으로 나타났다. 평균 9시간 42분이 걸린 것이다. 최초 침투로부터 확산하기까지 걸리는 전체 평균 시간은 4시간 30분이었다.
반면 2018년 동안 가장 많은 사이버전 활동을 벌인 건 중국이었다. 그럼에도 러시아가 가장 빠르게 횡적으로 움직이는 데 성공했다는 건, 러시아 공격자들의 수준이 최근 급성장했다는 걸 알 수 있게 해주는 대목이다. 러시아 해커들이라고 해서 이렇게까지 압도적으로 수준이 높았던 것은 아니다.
“러시아가 전략을 수정하면서 이런 방향으로 발전한 것으로 보입니다. 현재 러시아는 빠르게 치고 들어가 파괴한다는 노선을 잡고 사이버 공격을 실시하고 있습니다. 자신들의 정체가 식별이 되든 말든 상관이 없다는 태도죠.” 보안 업체 쓰레트스톱(ThreatStop)의 연구 책임자인 존 밤베넥(John Bambenek)의 설명이다. “사이버 공격을 하는 자들로서는 비정상적으로 움직인다고 봐도 될 정도입니다.”
실제로 최근 들어 러시아의 공격은 식별하는 게 훨씬 쉬워졌다. 빠르게 움직이고, 그 과정에서 실수의 확률이 높아졌기 때문이다. 밤베넥은 “조심하자는 기조가 아예 사라진 느낌이 들 정도입니다. 가서 부수자. 딱 이것만 머릿속에 있는 것 같아요. 그렇다고 해서 공격 효과가 없는 것도 아니고요. 게다가 미국과 러시아 간 범죄자 인도 협약을 맺고 있지 않아서 들켜도 상관이 없습니다.”
보안 업체 파이어아이(FireEye)의 CEO인 케빈 만디아(Kevin Mandia)는 “러시아가 이렇게까지 뻔뻔하게 움직이기 시작한 건 2014년 가을부터”라고 말한다. “그 즈음부터 우리(파이어아이)가 대응을 해도 공격을 중단하거나 도망가지 않더군요. 그 전까지는 수사가 시작되면 흔적을 감추고 사라졌거든요. 이제는 들키거나 말거나 할 걸 한다는 식으로 공격을 감행하고 있습니다.”
이런 식의 태도 변화는 다른 사이버 범죄자들에게서도 눈에 띄기 시작했다고 전문가들은 말한다. 보안 업체 오버왓치(OverWatch)의 부회장인 제니퍼 에이어스(Jennifer Ayers)는 “사이버 공격자들이 전체적으로 침투를 빠르게 성공시키고 있으며, 표적으로 삼은 네트워크에 거침없이 들어가고 있다”고 설명한다.
중국
그렇다면 중국은 왕성한 활동에도 불구하고 왜 비교적 느리게 움직이는 걸까? “중국 해커들은 최초 침투에 성공하고 나서는 한 발 뒤로 물러섭니다. 그런 다음 데이터를 더 모으고, 다음 공격 과정에 대한 전략을 세웁니다. 그러면서 예를 들면 특정 기계를 공략하기 위한 커널 모듈을 개발하거나 하죠. 그러니 시간이 걸릴 수밖에 없습니다.” 밤베넥의 설명이다.
중국은 원래 국가 경제 개발의 한 수단으로 해킹 공격을 감행해왔다. 그러나 2015년 오바마 전 대통령과 시진핑 주석이 사이버 공격을 서로 하지 말자는 협약을 맺은 후부터 한 동안 조용했다. 그러다가 작년부터 사이버 공격을 다시 증가시키기 시작했다. 알페로비치는 “중국이 다시 돌아왔다”며, “여러 산업군에서 중국의 정찰 행위가 눈에 띄기 시작했다”고 경고했다. “2018년 한 해 동안 사이버전의 주인공은 단연 중국이었습니다.”
2019년 현재까지도 중국은 가장 왕성한 활동을 하고 있는 사이버전 국가다. 파이어아이의 수석 사이버 정찰 분석가인 벤자민 리드(Benjamin Read)는 “하지만 효율성에 있어서는 러시아가 뛰어난 게 맞다”고 말한다. “사실 기술력에 있어서 러시아 해커들이 가장 뛰어난 게 사실입니다. 기술력이 좋으니 효율이 높을 수밖에 없죠. 현재 이 러시아 해커들은 유럽의 여러 조직들을 노리고 있습니다. 그리고 2020년 대선을 위한 움직임도 마련하고 있겠죠.”
방어는 어떻게 할까?
공격자가 평균 6개월 동안 네트워크에 머물러 공격을 해도 잡기가 힘든 판에, 이렇게 빨리 치고 들어오는 공격을 어떻게 막을 수 있을까? 크라우드스트라이크는 “방어자들은 제일 먼저 탐지, 수사, 수정, 복구에 걸리는 시간을 재보고, 그 시간을 공격자들의 평균 횡적 움직임 시간과 비교해보는 작업을 해야 한다”고 권장한다. 현재 능력을 알아야 한다는 것이다.
에이어스는 “보안 툴과 프로세스를 공격자들의 시간에 맞춰야 한다”고 말한다. “공격자들이 빠듯한 시간 안에 움직인다는 걸 고려해서 규칙들도 새롭게 설정해야 합니다. 특정 위협이나 징조가 발견됐을 때 어떤 식으로 움직일 것인지 미리 결정해두라는 겁니다. 예를 들어 멀웨어의 일부인 해시가 발견됐을 때는 즉각 차단하라는 식으로 말이죠. 또한 어떤 위협에 대해서 사건 대응을 시작해야 하는지, 외부 전문가를 초빙해야 하는지도 결정해두면 빠르게 움직이는 데 도움이 됩니다.”
밤베넥도 “결국 대응을 빨리하는 것이 러시아 해커들과 같이 기민한 움직임을 보이는 자들에 대한 대처법”이라고 말한다.
한편 크라우드스트라이크는 중국, 이란, 러시아의 해커들이 통신사들을 주로 공략한다는 걸 파악해내기도 했다. “인터넷의 제어 장치에 관심을 보이고 있는 것입니다. 이전에도 전쟁이 발발하면 전보망, 레이더망, 무선 주파수 등을 장악하려고 했죠. 그것과 같은 이치입니다. 지금 사이버 공간에서는 전쟁이 일어나고 있습니다.”
3줄 요약
1. 최초 침투 이후 네트워크 내 다른 곳으로 움직이는 건 해커들에게 어려운 일.
2. 그런데 러시아 해커들은 평균 19분 안에 이 일을 해냄. 들키는 걸 상관하지 않는 듯한 모습. 전체 평균 시간은 4시간 30분.
3. 가장 왕성한 활동력을 보여주는 건 중국의 해커. 굉장히 조심스럽게 움직임.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
