메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

카스퍼스키랩에서 새로운 추적 기법에 힘입어 고도로 정교한 위장 전술을 식별하는 성과를 거뒀다.

카스퍼스키랩의 글로벌 위협 정보 분석 팀은 OlympicDestroyer 악성 코드 공격에 대한 자체 연구 결과를 발표하면서, 공격의 실제 근원지를 추적하지 못하도록 악성 코드 제작자가 웜바이러스에 심어놓은 정교한 위장 표식에 대한 기술적 증거를 제시하였다.

이번 평창 동계 올림픽의 화제 중 하나는 OlympicDestroyer 웜바이러스였다. 올림픽 공식 개막식 전, IT 시스템이 사이버 공격을 받아 일시적으로 마비되어 화면과 Wi-Fi가 꺼지고, 올림픽 웹사이트가 마비되어 사용자들이 티켓을 인쇄하지 못하는 사태가 발생한 것이다. 카스퍼스키랩은 대한민국에 위치한 몇몇 스키 리조트 또한 이 웜바이러스의 공격을 받아 리조트 내 스키 게이트와 스키 리프트 작동이 중단되기도 하였음을 밝혀냈다. 다행히 이 악성 코드가 실제로 큰 피해를 입힌 것은 아니지만 치명적인 영향을 미칠 위력을 가지고 있다는 사실은 명백했다.

하지만 현재 사이버 보안업계의 가장 큰 관심은 OlympicDestroyer의 잠재력이나 공격으로 인한 실제 피해가 아니라 악성 코드의 근원지에 있다. OlympicDestroyer는 아마도 공격 배후에 대한 추측과 가설이 가장 분분한 악성 코드일 것이다. 악성 코드 발견 후 전 세계의 여러 분석 팀에서 OlympicDestroyer를 추적한 결과 며칠이 지나지 않아 러시아, 중국, 북한이 배후로 지목되었다. 그 근거로는 해당 국가 기반이거나 이들 국가 기관에 고용된 것으로 알려진 사이버 스파이, 사보타주 공격 조직에서 보여주는 특징과 OlympicDestroyer의 몇몇 특징이 일치한다는 점이었다.

카스퍼스키랩 또한 OlympicDestroyer의 배후 집단에 대해 밝혀내고자 했다. 그러던 중 북한이 연계된 악명 높은 국가 지원 해킹 집단인 Lazarus와 OlympicDestroyer가 연관이 있다는 확실한 증거를 발견하였다.

이 결론은 공격자들이 남긴 고유한 흔적에 기반한 것이다. 파일에 저장된 코드 개발 환경의 일부 특징 조합을 ‘지문’처럼 활용하는 방식인데, 일부 사례에서 악성 코드의 개발자와 프로젝트를 식별할 수 있었다. 카스퍼스키랩이 분석한 샘플의 지문은 이미 알려진 Lazarus 악성 코드 요소와 100% 일치율을 보였으며, 카스퍼스키랩의 데이터베이스에 있는 다른 클린 파일이나 악성 파일과는 일치하는 부분이 없었다. 전략, 기법, 기술 (TTP)의 유사성과 더불어 이 지문을 증거로 연구 팀은 OlympicDestroyer가 Lazarus의 활동이라고 일차적으로 결론을 내렸다. 하지만 카스퍼스키랩이 OlympicDestroyer에 감염된 다른 시설을 직접 조사한 결과, Lazarus의 TTP나 동기와 다른 점이 있다는 사실을 파악하였고, 연구 팀은 OlympicDestroyer의 증거 자료를 다시 분석하기로 결정했다.

신중한 2차 분석과 각 특징의 수동 검증을 거친 결과, 연구 팀은 Lazarus가 사용하는 지문과 완벽히 일치하도록 위조되었으나 코드와 일치하지 않는 특징을 몇 가지 발견하였다.

이에 따라 연구 팀은 처음에 발견된 '지문'은 개발자가 의도적으로 악성 코드 내에 심어둔 위장 지문이라는 결론을 내렸다. 분석 팀이 확실한 증거를 찾은 것으로 착각하게 만들어 더욱 정확한 추적을 방해하는 것이 이 위장 지문의 목적이다.

카스퍼스키랩 GReAT팀의 박성수 책임연구원은(www.kaspersky.co.kr)은 “우리가 아는 한 카스퍼스키랩에서 찾아낸 증거는 이전에 추적에 사용된 적이 없습니다. 하지만 공격자들은 누군가는 찾아낼 것이라고 예측하고 한 발 앞서 이 점을 이용한 것입니다. 아마 이러한 증거가 위조되었다는 사실을 증명하기 어렵다는 점을 노렸을 것입니다. 마치 범죄자가 다른 사람의 DNA를 훔쳐서 현장에 자신의 DNA 대신 남겨놓은 것과 같습니다. 범죄 현장에서 발견된 DNA가 고의로 그 자리에 남겨진 것이라는 사실을 밝혀내고 입증하는 것은 수사 기관, 즉 우리의 몫입니다. 이번 사례를 통해 공격자들이 노출과 추적을 피하기 위해서라면 기꺼이 시간과 노력을 들인다는 점을 알 수 있습니다. 카스퍼스키랩은 항상 사이버 범죄의 증거나 흔적이 상당 부분 위조될 수 있기 때문에 사이버 공간에서의 추적은 어려운 일이라고 지적해왔으며 OlympicDestroyer는 이러한 주장을 정확하게 뒷받침하는 사례입니다.”라고 말했다.

그는 “이번 사건의 또 다른 교훈이 있다면 공격 배후 추적은 아주 신중하게 진행해야 한다는 점입니다. 사이버 공간이 최근 얼마나 정치적으로 변했는지 생각하면, 잘못된 추적은 심각한 결과를 가져올 수 있으며, 누군가가 국가/정치적 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작하려고 할 수도 있기 때문입니다.”라고 덧붙였다.

OlympicDestroyer는 아주 복잡한 위장 전술이 구현된 특수한 사례이기에 정확한 배후는 아직 밝혀지지 않았다. 하지만 카스퍼스키랩의 연구 팀은 공격자들이 비트코인을 통해 개인정보 보호 서비스인 NordVPN과 호스팅 업체 MonoVM를 활용했다는 사실을 밝혀냈다. 이들 업체와 더불어 추가적으로 발견된 TTP는 러시아어 기반 조직인 Sofacy가 이전에 사용한 것으로 알려진 바 있다.

물론 카스퍼스키랩 제품을 통해 OlympicDestroyer 악성 코드를 감지하고 차단할 수 있다.

대한민국과 유럽에서 발생한 OlympicDestroyer 공격에 대한 카스퍼스키랩의 분석 결과는 Securelist.com의 블로그 게시물에서 확인할 수 있다.

카스퍼스키랩 소개
1997년 설립되어 2017년 20주년이 된 글로벌 사이버 보안 전문 회사 카스퍼스키랩은 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키랩은 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키랩의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키랩의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.
번호 제목 날짜
112 새로운 Kaspersky Cloud Sandbox로 복잡한 위협 조사 및 침해 대응 능력 향상

2018.04.25 0

2018.04.25
111 2018년 1분기 새로운 해킹 조직의 온상이 된 아시아와 중동

2018.04.25 0

2018.04.25
110 AWS Summit 및 EXPO Seoul 2018 참가 file

2018.04.16 0

2018.04.16
» 새로운 위장 전술의 대두, OlympicDestroyer가 보안 업계를 혼란에 빠트린 방법

관리자 2018.04.16 5

2018.04.16
108 금융 관련 피싱 공격의 범람

2018.04.16 0

2018.04.16
107 카스퍼스키랩, AV-TEST 3관왕 달성

2018.03.28 0

2018.03.28
106 5년 연속 최고의 품질을 입증한 카스퍼스키랩

2018.02.23 0

2018.02.23
105 텔레그램 메신저의 제로데이 취약점을 악용해 유포된 다목적 악성 코드

2018.02.23 0

2018.02.23
104 No More Ransom 프로젝트의 새소식: 벨기에 경찰청, Cryakl 랜섬웨어용 무료 복호화 키 배포

2018.02.23 0

2018.02.23
103 안전한 올림픽을 위한 스마트 시티 보안 구축 가이드

2018.02.23 0

2018.02.23
102 Kaspersky Anti Targeted Attack 플랫폼, ICSA Labs 테스트에서 3분기 연속 100% 탐지율 달성

2018.02.23 0

2018.02.23
101 2017년 Android용 상용 스파이웨어 구매자 전년 대비 약 두 배 증가

2018.01.19 0

2018.01.19
100 빠르게 진화하는 가장 강력한 보안위협, 랜섬웨어의 26%가 기업을 노린다

2018.01.19 0

2018.01.19
99 미흡한 보안 대책으로 클라우드 기반 비즈니스의 성장과 비용 절감에 적신호 발생

2018.01.19 0

2018.01.19
98 매일 36만 개의 신종 악성 파일 탐지, 2016년 대비 11.5% 증가

2018.01.19 0

2018.01.19
97 카스퍼스키랩에서 새로 선보이는 일반 IT 담당자를 위한 온라인 사이버 보안 교육 과정

2017.11.29 0

2017.11.29
96 금융 기관을 노린 Silence 트로이목마

2017.11.29 0

2017.11.29
95 카스퍼스키랩의 3분기 DDoS 인텔리전스 보고서, 봇넷 DDoS 공격과 온라인 게임 및 암호 화폐의 위기

2017.11.29 0

2017.11.29
94 중국어 기반 해킹 조직, 2017년 3분기 지능형 표적 공격의 약 50% 차지

2017.11.29 0

2017.11.29
93 카스퍼스키랩의 2018년 위협 예측: 일반 소프트웨어를 감염시켜 우회 공격하는 공급망 공격 수법 증가 예측

2017.11.29 0

2017.11.29