해킹 조직이 갈수록 다양한 위장 전술을 사용해 추적하는 이들을 혼란에 빠뜨리고 있다.
카스퍼스키랩 보안 연구원인 브라이언 바르롤로뮤(Brian Bartholomew)와 쥬앙-안드레스 게레로-사데(Juan-Andres Guerrero-Sade)가 바이러스 블러틴(Virus Bulletin)에 해킹 조직의 ‘위장 전술’에 대한 논문을 발표했다.
이에 따르면 표적 공격을 벌이는 해킹 조직은 가짜 타임 스탬프, 언어 문자열, 악성 코드, 그리고 무엇보다 존재하지 않는 단체로 가장하는 등 날이 갈수록 다양한 위장 전술을 사용해 추적을 혼란에 빠뜨리는 것으로 드러났다.
사이버 표적 공격이 벌어지면 배후를 밝혀내는 일이 가장 중대한 사안이다. 그러나 배후의 정체를 정확하게 색출하는 것은 어려우며, 때로는 불가능에 가깝다.
두 명의 보안 연구원들은 해킹 조직에서 ▲타임 스탬프 ▲언어 표지 ▲인프라와 백엔드의 연결고리 ▲악성 코드·코드·암호·취약점 악용 등 툴킷 ▲공격 표적 등의 위장 전술을 사용한다고 밝혔다.
해킹 조직의 위장 전술 중 하나인 타임 스탬프는 악성 코드 파일에서 컴파일된 시간을 나타낸다. 관련된 샘플이 충분히 수집되면 개발자의 업무 시간을 특정할 수 있고 이에 일반적인 운영 시간대를 추측할 수 있는데, 매우 쉽게 변경 가능해 해킹 조직에서 이를 위장 전술로 사용하는 것이다.
또 언어 표지를 조작해 분석가들을 혼란에 빠뜨리기도 하는 것으로 나타났다.
악성 코드 파일에는 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로를 포함하는 경우가 많다. 추적에 있어 가장 확실한 단서는 사용한 언어와 능숙한 구사력 수준인데, 디버그 경로 또한 사용자 이름과 프로젝트 또는 캠페인의 내부 명명 규칙에 대한 단서를 제공하며 피싱 문서에 가득 찬 메타데이터에도 개발자의 실제 컴퓨터를 가리키는 상태 정보가 의도치 않게 저장돼 있을 수도 있다.
이러한 언어 표지는 쉽게 조작 가능하다. 이번 논문을 발표한 두 명의 연구원은 클라우드 아틀라스(Cloud Atlas)라는 해커 조직의 악성 코드에 가짜 언어 단서가 남겨져 있었다고 밝혔다. 블랙베리(BlackBerry) 버전에는 아랍 문자열, 안드로이드(Android) 버전에는 힌두 문자열, iOS 버전의 프로젝트 경로에는 존클락(JohnClerk)이라는 단어가 포함된 것으로 조사됐다.
인프라와 백엔드의 연결고리를 이용하는 전술도 있다. 공격자가 사용한 C&C(명령 및 제어) 서버를 찾아내는 것은 범인의 집 주소를 찾아내는 것과 비슷한데, C&C 인프라는 고비용과 유지하기 어려운 탓에 자금이 넉넉한 해커들도 C&C나 피싱 인프라는 재사용하는 경향이 있다. 이에 보안 전문가가 유출 서버나 이메일 서버에서 데이터를 회수할 때, 스테이징 서버나 피싱 서버를 준비할 때, 또는 해킹된 서버를 확인할 때 범인들의 인터넷 연결 익명화 실패 시 백엔드를 통해 정체를 엿볼 수가 있는 것이다.
하지만 해커들이 고의로 ‘실패’하는 위장전술을 펼치기도 하는 것으로 나타났다. 국내 IP 주소를 사용해 분석가들을 현혹시킨 클라우드 아틀라스가 대표적 사례다.
악성 코드, 코드, 암호, 취약점 악용 등의 툴킷도 위장전술로 이용된다.
지금은 공개적으로 구할 수 있는 툴에 의지하는 해킹 조직도 일부 존재하지만, 대부분은 여전히 자신만의 백도어와 측면 이동 툴, 취약점을 구축하고 이를 철저하게 보호한다. 따라서 특정 악성 코드군이 등장하면 즉시 해킹 조직의 정체를 알아낼 수 있다.
하지만 툴라(Turla)라는 해킹 조직은 감염된 시스템 내부에서 궁지에 몰리자 바로 이러한 추적 방법을 역이용했다. 악성 코드를 철수시키는 대신 희귀한 중국 악성 코드의 일부를 심어놓은 것이다. 이 악성 코드는 베이징에 위치한 인프라와 연결돼 있었으며 툴라와는 아무 관련도 없었던 것으로 조사됐다. 피해자 측 대응팀에서 이 미끼 악성 코드를 추적하는 사이 툴라는 조용히 자신의 악성 코드를 제거하고 피해자의 시스템에서 자신의 흔적을 전부 삭제했다.
공격 표적으로 위장하는 경우도 있다. 추적하는 이들에게 공격 표적은 잠재적인 실마리가 된다. 이 때 연결고리를 정확하게 밝혀내려면 능숙한 분석 및 해석 능력이 필요하다. 와일드 뉴트론(Wild Neutron)은 다양한 표적 집단으로 추적에 혼선만 일으켰다.
게다가 일부 해킹 조직은 해커와 표적 간의 관계를 찾고 싶어하는 대중의 욕구를 악용하여 때때로 없는 단체까지 만들어내 핵티비스트 단체로 위장한다. 그 예로 2014년에 소니 픽쳐스 엔터테인먼트(Sony Pictures Entertainment)를 공격할 때 라자루스 그룹(Lazarus Group)은 자신들을 가디언스 오브 피스(Guardians of Peace)라고 소개했다.
마지막으로 다른 해커 조직에게 책임을 떠넘기는 작전도 있다. 지금까지 추적당한 적 없는 타이거밀키(TigerMilki) 조직에서 사용한 방법으로, 과거에 스턱스넷(Stuxnet)에서 사용한 인증서를 도용해 자신들의 백도어에 서명한 바 있다.
이창훈 카스퍼스키랩코리아 지사장은 “표적 공격의 배후를 추적하는 일은 매우 복잡하고 주관적이며 해킹 조직은 날이 갈수록 IT 조사원들이 확보하려는 단서들을 조작해 혼란에 빠뜨리고 있다”고 전했다.
이어 “정확한 추적은 불가능에 가까울 때가 많을 뿐만 아니라 위협 인텔리전스는 ‘범인이 누구인가’ 하는 의문보다는 좀 더 심층적이고 측정할 수 있는 데이터 중심으로 운영된다”며 “ 세계적으로 악성 코드 생태계의 강자들을 우선 파악하고, 원하는 기업에게는 유용하고 강력한 인텔리전스를 제공할 필요가 있으며 이것이 카스퍼스키랩의 주력이 될 것”이라고 덧붙였다.
