2017.03.10

'이퀘이젼 사이버첩보 그룹의 배후엔 NSA와 CIA가...' 유출된 CIA 문서에서 확인

Lucian Constantin | IDG News Service
지난 7일 유출된 CIA 문서는 이퀘이젼(Equation)이라 부르는 그룹이 갖고 있었던 악성코드 도구와 그 운영에 대한 책임이 NSA(National Security Agency)와 CIA 본부 가운데 하나에 있다는 것을 확인시켜줬다.


Credit: Michael Kan

이퀘이젼의 사이버첩보 활동은 2015년 2월 카스퍼스키랩의 연구원들에 의해 보고됐는데, 이 그룹은 정교한 자체 도구와 운영 기간을 바탕으로 전세계에서 가장 최첨단의 사이버첩보 그룹으로 널리 알려져 있다. 이들의 활동 일부는 1996년까지 거슬러 올라간다.

초기부터 이퀘이젼에 의해 사용된 이 도구와 기술들은 2013년 에드워드 스노든에 의해 유출된 비밀문서에서 설명한 그것과 상당히 유사한 점을 갖고 있었다. 이런 관계에 대한 의문은 이퀘이젼 악성코드와 NSA 파일 내에 있는 다양한 코드 이름간의 유사성으로 인해 더욱 짙어졌다.

위키리크스가 유출한 새로운 CIA 문서에는 이퀘이젼 그룹에 대한 카스퍼스키의 분석 보고서가 나온 후 당국의 기술 자문 위원회의 회원 간 2015년 토론도 포함되어 있다.

이 토론의 내용은 대부분 카스퍼스키 연구원들이 다양한 도구 간의 관계와 그룹간 연계성을 알아내게 한 이퀘이젼의 잘못이 무엇인 지에 대해 초점을 맞추고 있었다. 이들의 목표는 CIA 자체 사이버 팀들이 이번 실수로부터 자체 툴과 운영에서 이런 실수를 피하는 것이었다.

토론 중에 발견된 이퀘이젼의 실수들은 오픈SSL 또는 마이크소프트의 크립토API와 같은 표준 라이브러리에 의존하지 않고 사용자 지정 암호화 구현을 사용한 것과 프로그램 데이터베이스 내에 식별할 만한 문자열을 남겨둔 점, 고유 뮤텍스(mutexes) 사용과 익스플로잇 재사용 등이 포함되어 있었다.

이 토론 중에 한 회원은 "이 보고서에 표시된 이퀘이젼 그룹은 특정 그룹과 연관이 없으며, 도구 모음도 일부만"이라고 말했다.

TAO는 NSA의 맞춤형 접속 운영 사무소(Office of Tailored Access Operations)의 약자로, 외국 컴퓨터 시스템에 침입하기 위한 해킹 도구 제작을 전문으로 하는 NSA의 대규모 부서로 언급된다.

한편 IOC는 CIA의 한 부서인 정보운영센터(Information Operations Center)의 약자로, 2013년 첩보 당국을 위한 예산안 타당성 조사에서 노출됐다. 이 부서의 역할은 최근 대테러리즘에서 사이버첩보로 초점이 바뀌었다.

카스퍼스키의 이퀘이젼 보고서에 대한 CIA의 분석은 보안 업체가 발행한 연구 내용을 기반으로, 자신들의 공격을 좀더 잘 숨길 수 있는 방법을 강조하고 있다. 이로 인해 보안업체와 독립 연구원들이 악성코드 도구 간의 연계를 규정하는데 사용하는 방법이 타당한 지에 대해 의문이 증폭되고 있다.

카스퍼스키 랩의 연구원은 이메일을 통해 "공격자들이 공공의 분석 보고서에서 배우는 것은 이미 입증된 사실이며, 모든 연구원들은 자료를 게시할 때 이를 고려해야 한다"고 말했다. 물론 모든 업체가 조사 결과물 전부를 공개하는 것은 아니다. 일부 업체는 보고서 세부 사항의 일부를 비밀로 숨기거나 보고서 자체를 만들지 않는 것을 선호하기도 한다.

하지만 카스퍼스키 연구원은 "(위험을 강조하고 인지도를 높이기에 충분할 정도의) 공개된 정보의 양과 (향후 공격의 발견을 위한) 비밀로 유지되는 정보의 양 간의 균형이 맞춰질 것이라 믿는다"고 말했다.

카스퍼스키 랩에 따르면, 2012년부터 계속되는 사이버 군비 경쟁은 심화되고 있으며, 느려질 조짐이 보이지 않는 것으로 나타났다. editor@itworld.co.kr
 



2017.03.10

'이퀘이젼 사이버첩보 그룹의 배후엔 NSA와 CIA가...' 유출된 CIA 문서에서 확인

Lucian Constantin | IDG News Service
지난 7일 유출된 CIA 문서는 이퀘이젼(Equation)이라 부르는 그룹이 갖고 있었던 악성코드 도구와 그 운영에 대한 책임이 NSA(National Security Agency)와 CIA 본부 가운데 하나에 있다는 것을 확인시켜줬다.


Credit: Michael Kan

이퀘이젼의 사이버첩보 활동은 2015년 2월 카스퍼스키랩의 연구원들에 의해 보고됐는데, 이 그룹은 정교한 자체 도구와 운영 기간을 바탕으로 전세계에서 가장 최첨단의 사이버첩보 그룹으로 널리 알려져 있다. 이들의 활동 일부는 1996년까지 거슬러 올라간다.

초기부터 이퀘이젼에 의해 사용된 이 도구와 기술들은 2013년 에드워드 스노든에 의해 유출된 비밀문서에서 설명한 그것과 상당히 유사한 점을 갖고 있었다. 이런 관계에 대한 의문은 이퀘이젼 악성코드와 NSA 파일 내에 있는 다양한 코드 이름간의 유사성으로 인해 더욱 짙어졌다.

위키리크스가 유출한 새로운 CIA 문서에는 이퀘이젼 그룹에 대한 카스퍼스키의 분석 보고서가 나온 후 당국의 기술 자문 위원회의 회원 간 2015년 토론도 포함되어 있다.

이 토론의 내용은 대부분 카스퍼스키 연구원들이 다양한 도구 간의 관계와 그룹간 연계성을 알아내게 한 이퀘이젼의 잘못이 무엇인 지에 대해 초점을 맞추고 있었다. 이들의 목표는 CIA 자체 사이버 팀들이 이번 실수로부터 자체 툴과 운영에서 이런 실수를 피하는 것이었다.

토론 중에 발견된 이퀘이젼의 실수들은 오픈SSL 또는 마이크소프트의 크립토API와 같은 표준 라이브러리에 의존하지 않고 사용자 지정 암호화 구현을 사용한 것과 프로그램 데이터베이스 내에 식별할 만한 문자열을 남겨둔 점, 고유 뮤텍스(mutexes) 사용과 익스플로잇 재사용 등이 포함되어 있었다.

이 토론 중에 한 회원은 "이 보고서에 표시된 이퀘이젼 그룹은 특정 그룹과 연관이 없으며, 도구 모음도 일부만"이라고 말했다.

TAO는 NSA의 맞춤형 접속 운영 사무소(Office of Tailored Access Operations)의 약자로, 외국 컴퓨터 시스템에 침입하기 위한 해킹 도구 제작을 전문으로 하는 NSA의 대규모 부서로 언급된다.

한편 IOC는 CIA의 한 부서인 정보운영센터(Information Operations Center)의 약자로, 2013년 첩보 당국을 위한 예산안 타당성 조사에서 노출됐다. 이 부서의 역할은 최근 대테러리즘에서 사이버첩보로 초점이 바뀌었다.

카스퍼스키의 이퀘이젼 보고서에 대한 CIA의 분석은 보안 업체가 발행한 연구 내용을 기반으로, 자신들의 공격을 좀더 잘 숨길 수 있는 방법을 강조하고 있다. 이로 인해 보안업체와 독립 연구원들이 악성코드 도구 간의 연계를 규정하는데 사용하는 방법이 타당한 지에 대해 의문이 증폭되고 있다.

카스퍼스키 랩의 연구원은 이메일을 통해 "공격자들이 공공의 분석 보고서에서 배우는 것은 이미 입증된 사실이며, 모든 연구원들은 자료를 게시할 때 이를 고려해야 한다"고 말했다. 물론 모든 업체가 조사 결과물 전부를 공개하는 것은 아니다. 일부 업체는 보고서 세부 사항의 일부를 비밀로 숨기거나 보고서 자체를 만들지 않는 것을 선호하기도 한다.

하지만 카스퍼스키 연구원은 "(위험을 강조하고 인지도를 높이기에 충분할 정도의) 공개된 정보의 양과 (향후 공격의 발견을 위한) 비밀로 유지되는 정보의 양 간의 균형이 맞춰질 것이라 믿는다"고 말했다.

카스퍼스키 랩에 따르면, 2012년부터 계속되는 사이버 군비 경쟁은 심화되고 있으며, 느려질 조짐이 보이지 않는 것으로 나타났다. editor@itworld.co.kr
 

X