사이버포렌식전문가협회(www.cfpa.or.kr)

출처 : http://www.boannews.com/media/view.asp?idx=57373&mkind=1&kind=1
해커를 해킹하는 해커들, ‘제4자 수집’ 때문에 첩보 분석 어려워져
해커들, 다른 해커의 툴과 전술 해킹한 뒤 재사용공격 패턴 분석해 공격자 찾는 방식 이제 안 먹혀
[보안뉴스 오다인 기자] 사이버 범죄자들이 다른 해커의 툴과 전술을 모방하기 때문에 원래 공격자를 추적하는 일이 점점 더 어려워지고 있다는 연구가 나왔다.
카스퍼스키 랩 소속의 글로벌 리서치 및 분석 팀(GReAT: Global Research and Analysis Team)은 공격자들이 다른 공격자를 해킹한 뒤 피해자 정보와 공격 툴, 공격 기술 등을 훔쳐내고 익스플로잇을 조작하는 데다 똑같은 인프라를 공격한다는 사실을 발견했다.

이에 따라 최초의 공격자가 누구인지 찾는 일이 매우 어려워질 것으로 보인다. 위협 첩보가 작동하는 방식은 대개 특정한 공격자의 패턴을 식별하고 그와 관련한 툴을 찾는 데 의존한다. 공격자의 패턴과 툴을 식별하는 것은 보안 연구자들이 공격의 타깃을 찾아내고 각기 다른 공격자 행동을 구별하는 데 도움이 된다. 그러나 해커들이 다른 공격자를 해킹한 뒤 똑같은 툴을 사용하고 똑같은 피해자를 겨냥하기 시작하면서 위협 첩보 모델이 더 이상 작동하지 않게 됐다.

카스퍼스키는 정부 지원을 받으면서 외국 조직을 공격하는 해커들이 주로 이런 유형의 모방 전술을 펼치리라 짐작하고 있다. 카스퍼스키는 IT 보안 연구자들이 이와 같은 공격을 탐지 및 해석할 수 있어야 하며, 첩보 능력을 맥락 속에서 발휘할 수 있도록 해야 한다고 강조한다.

이번 연구는 신호 정보를 가리키는 ‘시긴트(SIGINT: Signal Intelligence)’를 이용한 제4자 수집(forth-party collection) 행위를 이해하려는 목적에서 진행됐다. 제4자 수집은 외국 첩보 기관의 컴퓨터 네트워크 착취(CNE: Computer Network Exploitation) 활동을 도중에 가로채는 일 등을 포함한다. 연구자들은 공격자의 행동을 관찰한 결과, 공격자가 다른 공격자를 활발하게 해킹하고 있다는 증거를 발견했다고 설명했다.

GReAT 연구자 후안 앙드레 게레로 사데(Juan Andres Guerrero-Saade)와 코스틴 라이우(Costin Raiu)는 카스퍼스키의 시큐어리스트(SecureList) 블로그를 통해 “기술적인 용어를 제하고 말하자면, 제4자 수집은 다른 사람의 스파이 행위를 스파이 하는 행위이다”라고 말했다.

제4자 수집에는 두 가지 주요한 접근법이 있다. 이 접근법은 공격이 수동적이냐 능동적이냐에 따라 구분된다. 먼저 수동적인 공격은 다른 해커의 정보가 피해 기기로부터 명령 및 제어(C&C) 서버로 송신되는 도중에 이를 가로채는 것을 말한다. 수동적인 공격은 탐지하는 것이 거의 불가능하지만 능동적인 공격은 흔적을 남긴다.

능동적인 공격은 다른 공격자의 악성 인프라에 침투하는 것을 의미한다. 이 경우, 공격자는 탐지될 위험을 어느 정도 감수해야 하지만 그만큼 이익이 크다. 능동적인 수집의 성공은 타깃이 운영상 보안 에러를 일으키느냐에 달려 있다.

GReAT 팀은 특정한 공격자를 조사하는 가운데 해당 공격자가 능동적인 공격형에 속한다는 증거들을 찾아냈다고 밝혔다.

다른 공격자의 C&C 인프라에 백도어 설치
연구자들은 해킹당한 네트워크 안에서 두 가지 백도어 샘플을 발견했다. 공격자는 이 백도어를 통해 다른 공격자의 작전을 지속적으로 염탐할 수 있다. 일례로, 2013년에 발견된 넷트래블러(NetTraveler) 공격의 연구 결과를 보자. 당시 연구자들은 서버 하나를 확보했는데 이를 분석하는 도중에 다른 공격자에 의해 설치된 것으로 보이는 백도어를 발견했다. 해당 백도어의 목적은 넷트래블러 인프라 또는 넷트래블러가 빼돌린 정보에 지속적인 접근을 유지하는 것으로 추정됐다.

또 다른 예로, 2014년 크라우칭 예티(Crouching Yeti)가 해킹하고 사용한 웹사이트가 있다. 크라우칭 예티는 2010년부터 활동한 APT(Advanced Persistent Threat) 공격자로, ‘에너제틱 베어(Energetic Bear)’라고도 불린다. 연구자들은 C&C 네트워크를 관리하는 패널이 중국의 원격 IP 주소를 가리키는 태그와 함께 수정됐다는 사실을 발견했다. 연구자들은 이를 다른 해커가 설치한 백도어이자 위장술책이었다고 분석했다.

피해 웹사이트 공유
2016년 카스퍼스키는 다크호텔(DarkHotel)이 해킹한 웹사이트 하나를 발견했는데 이 웹사이트는 다른 공격자의 익스플로잇 스크립트를 호스트하고 있었다. ‘스카크러스프(ScarCruft)’라는 코드명이 붙은 이 스크립트는 주로 러시아, 중국, 한국 조직을 겨냥한 것으로 나타났다. 이 공격자는 워터링 홀(Watering Hole)과 스피어 피싱 공격에 의존했다.

해커의 집중 영역 겨냥
공격자들은 특정한 지역이나 산업에 특화된 해커를 공격함으로써 해당 해커가 일궈놓은 작업들을 착취할 수 있을 뿐더러 특정한 사람들을 겨냥할 수 있다. 다만, 이처럼 피해자를 공유하는 건 공격자 중 어느 한 쪽이 적발될 위험을 키우는 일이기도 하다. 이 경우 분석을 통해 다른 한 쪽의 공격자가 누구인지 밝혀내는 것이 가능하다.

2014년 11월, 카스퍼스키는 중동의 어느 연구소 서버 하나가 레진(Regin), 이퀘이젼 그룹(Equation Group), 털라(Turla), 이터듀크(ItaDuke), 애니멀팜(Animal Farm), 카레토(Careto) 등의 공격자를 호스트하고 있다는 사실을 발견했다. 이 서버의 발견을 시발점으로 이퀘이젼 그룹의 존재가 드러나게 됐다.
[국제부 오다인 기자(boan2@boannews.com)]