'해커를 알면 사이버 공격이 보인다' 왜? 어떻게?

CIO
해커가 누구며 이들이 무엇을 원하는지 아는 것은 네트워크 보안 침해의 영향을 최소화하는 열쇠다. 보안 전문가들이 해커를 식별하는 데 사용하는 방법을 소개한다.


Credit: Pixabay


다음과 같은 상황을 상상해보자. 회사 네트워크가 디도스 공격을 받는 상황인데, 공격자가 누구인지, 왜 이런 짓을 하는지 아무런 정보가 없다. 이런 정보 없이는 공격을 멈추는 대가로 금전을 원하는 것인지, 아니면 보안팀의 주의를 한쪽으로 끌고 그 틈을 타 네트워크에 침투해 중요 정보를 훔쳐가려는 것인지, 해커가 정확히 무엇을 노리는지 파악할 수 없다.

그뿐만 아니라, 네트워크 공격 직후에는 공격자에 관한 정보를 조금이라도 알고 있는 것이 큰 도움이 될 수 있다. 이들이 누구인지, 어디에 소속되어 있는지만 알아도 훨씬 정확하게 공격의 영향을 예상할 수 있기 때문이다. 특히 데이터가 유출된 위치나, 해커가 남겨두고 갔을 수 있는 트로이 목마 바이러스나 익스플로잇 키트의 존재를 파악하는 데도 이러한 정보가 필요하다.

또 공격자의 신원을 알면 공격의 목적이나 동기, 그리고 결과가 어떠할지에 대해서도 어느 정도 추측할 수 있다. 예를 들어, 신용카드 정보처럼 재판매가 가능한 정보라면 가리지 않고 노리는 부류도 있지만, 외국 정부 및 국가 주도 해커들의 경우처럼 특정한 정보만을 노리는 이들도 있다.

버지니아 주에 있는 보안업체 쓰렛커넥트(ThreatConnect)의 위협 지능 애널리스트 카일 엠키는 "공격자의 신원만 알아도 그의 목적과 역량, 인프라를 파악할 수 있다. 특히 공격자가 왜, 어떻게 공격을 감행했는지 아는 것은 매우 중요하다"고 말했다.

무엇보다 공격자에 대한 정보는 향후 기업의 보안 대책을 세우고 예산을 어떻게 분배할지 결정하는 데 필요하다. 예를 들어 특정 정보를 노리고 침투했으나 그 목적을 전부 다 달성하지 못하고 돌아갔다면, 이 해커들이 다시 노릴 가능성이 높은 정보나 자산 위주로 보안을 강화할 수 있을 것이다.

그러나 해커의 신원 및 소속을 파악하는 것은 무엇보다 대규모 보안 위협이 발생했을 때 가장 중요해진다. FBI가 북한 정부와 연계된 해커들의 소행으로 지목한 2014년 소니 해킹 사건 같은 대규모 해킹의 경우 국가 안보 차원의 위협을 가할 수 있으며 정치적으로도 영향력을 미칠 수 있다.

그렇다면 보안 전문가들은 어떻게 해커들의 신원 및 정보를 파악하고 있을까?

---------------------------------------------------------------
Paul Rubens의 인기기사
->칼럼 | 프로그래머 실력 최고인 나라는 어디?
->'평범하되 위대하게' 개발자 생산성 습관 7가지
->기고 | 마이크로소프트가 '리눅스용 하둡'을 출시한 진짜 이유
->미약한 취미에서 창대한 협업 프로젝트로 '리눅스의 어제와 오늘'
->오픈소스 소프트웨어로 돈 버는 방법
->무료 오픈소스 SW만으로 기업을 운영하는 방법
->개발자 경력에 '가산점' 될 6가지 새로운 언어
->오픈소스 소프트웨어를 사용하지 않는 7가지 이유
---------------------------------------------------------------


포럼 탐색
우선 알아야 할 것은 공격자의 신원 파악이 매우 어려운 작업이라는 사실이다. 해커들은 대부분 자신들의 현재 위치에서 멀리 떨어진 곳의 서버에서 하나 이상의 프록시를 거쳐 공격해오기 때문에, 표면적으로 드러난 공격의 소스는 신뢰할 수 없다. 디도스 공격 같은 경우 글로벌 봇넷을 구성하는 수천 대의 기계로부터 트래픽이 유입되기도 한다.

또 침범당한 서버에 남겨진 메시지나 익스플로잇 코드에 사용된 언어만으로 해커의 신원이나 국적을 파악하기도 쉽지 않다. 해커들 간에 서로 툴을 공유하고, 거래하며, 복제하거나 심지어 훔치는 경우도 많으므로 코드에서 러시아어가 발견되었다고 해도 진짜 범인은 페루나 북한의 대학생일 가능성도 없지 않다. 또 설령 실수로 자신의 흔적을 남기는 해커가 있다 해도(위에서 예로 든 러시아어처럼), 고의로 헷갈리게 만들 목적으로 비슷한 흔적을 남기는 다른 해커들의 사례가 있으므로 어느 쪽인지 판별하기란 쉽지 않다.


또 한 가지 중요한 사실은 실제로 해커들은 서로 대면하는 일이 잘 없다는 점이다. 그보다는 웹이나 다크 웹의 해커 포럼을 통해 정보와 툴, 해킹된 데이터를 교환한다.

실시간 위협 지능 제공업체 레코디드 퓨처(Recorded Future)의 창립자이자 CEO인 크리스토퍼 앨버그에 따르면, 이러한 포럼들은 특히 법 집행 기관이나 보안 전문가들에게 중요한 정보의 소스가 된다. 런던에서 열린 블랙 햇 유럽 2016 보안 컨퍼런스에서 앨버그는 해커의 신원 파악 성패 여부가 많은 경우 해커 포럼의 ‘어설픈 핸들 사용(sloppy handle usage)’에 달려 있다고 말했다.

“도메인명을 등록한 후 똑같은 핸들을 해커 포럼과 개발자 포럼, 소셜 네트워크 등에서 함께 사용하는 경우가 관측된다”고 그는 말했다. 이런 식으로 (일부 이메일 주소일 수도 있는)핸들을 재사용할 경우 그 포럼 멤버가 누구인지 알아내기가 상대적으로 쉬워지며, 특히 포럼 포스트는 특정 해킹을 주도한 인물이나 단체를 특정하는 정보를 담고 있는 경우가 많다.

앨버그와 같은 보안 전문가들을 난감하게 만드는 것은 지능적 해커들일수록 작전 보안에 철저해 이런 식으로 핸들을 재사용하지 않는다는 사실이다. 그는 “그래서 이들은 포럼마다, 심지어 동일 포럼 내에서도 핸들을 바꿔가며 활동하는, 소위 핸들 호핑(handle hopping)을 한다”고 설명했다.

패턴 파악
이런 식의 핸들 호핑에 어떻게 대처하면 좋을까? 패턴 오브 라이프(Pattern of Life analysis) 분석이 하나의 솔루션이 될 수도 있다. 위키피디아는 이 분석 방식을 ‘단수 또는 복수 대상의 습성을 관찰하고 이해하기 위해 고안된 감시 방법이다. 이렇게 얻어진 정보로 관찰 대상의 향후 행동을 예측할 수 있다’라고 설명하고 있다.

실제로 패턴 오브 라이프 분석은 범죄 통계부터 우버 이용 패턴, 특정 행위 패턴에 이르기까지 다양한 종류의 데이터에 적용될 수 있다고 앨버그는 말했다. 예를 들어 발렌타인데이 같은 경우 새벽 1시부터 5시 사이에 우버 이용 횟수가 매우 많지만, 납세일(Tax Day)에는 그런 현상이 전혀 관찰되지 않았다. 또한 시카고에서 도둑들이 가택 침입을 가장 많이 시도하는 시간대는 아침 아홉 시이며, 마약상들이 가장 활발하게 활동하는 시간은 점심시간과 저녁시간대라는 점도 매우 흥미롭다.

사이버 범죄에서도 이와 비슷한 행동 패턴을 발견할 수 있다. 레코디드 퓨쳐 사의 자동 시스템은 웹 및 다크웹의 750여 개 범죄 및 해킹 포럼에서 데이터를 수집했다. 이들 포럼은 중국어, 러시아어, 아랍어를 비롯해 7개 언어를 사용하고 있었다. 140만 개의 핸들에 대한 데이터를 처리해 분석했더니 흥미로운 결과가 나왔다.

포럼 핸들의 96% 이상이 딱 한 번만 사용되었으며, 이는 이들 포럼을 방문하는 해커들 절대다수가 핸들 사용 패턴을 통한 신원 파악에 관해 알고 있고 이를 조심하고 있음을 보여준다.

하지만 항상 그런 것은 아니었으며, 몇몇 예외적인 경우를 통해 이 곳에서 활동하는 해커와 이들의 활동에 대해 좀 더 많은 정보를 파악할 수 있었다. 앨버그는 “2개의 핸들 패턴이 함께 움직이는 것이 관찰될 경우 동일 인물이 2개의 핸들을 이용하는 것이거나, 혹은 2명이 공범일 가능성이 있다. 따라서 문제는 비슷한 행동 패턴을 보이는 핸들들을 파악하는 것이다. 이러한 ‘짝꿍’들을 찾아냄으로써 궁극적으로 해커의 신원 파악도 가능해질 것으로 보인다”고 설명했다.

포럼에서 사용하는 언어를 통해서도 많은 정보를 추출할 수 있다. 특히 해커들의 활동 시간은 다 제각각이었는데, 예를 들어 이란 해커들의 경우 낮에 주로 활동했는데, 이는 이들 중 상당수가 학생으로 보인다. 러시아 해커들은 저녁 시간에 왕성한 활동을 보였는데, 아마도 낮 동안 따로 직장이 있으며 부업으로 해킹하는 이들이라고 추측할 수 있다.

또한 러시아어 웹사이트를 방문하는 해커들 역시 사이트 방문 시간이 제각각 이었는데 이것은 이들이 블라디보스토크와 모스크바처럼 각기 다른 시간대에서 활동하고 있음을 알려준다.

공휴일을 기준으로 한 정보도 해커들의 신원 파악에 유의미한 도움을 준다. 예를 들어 러시아 해커들은 12월 31일을 전후로 하여 서서히 뜸해지는 편이고(이유는 분명하다), 아랍 해커들의 경우 라마단 기간 동안(아마도 다른 할 일이 없기 때문에) 활동이 늘어나는 편이다.

이 모든 정보를 종합해 봤을 때, 해커의 신원을 어느 정도까지 좁혀나갈 수는 있지만 아직 그 정확도를 신뢰하기는 어려운 단계에 있다. 2년 전 발생한 소니 해킹 사건만 해도 사실 미국 정부가 어떻게 그것을 북한 정부의 소행으로 확신한 것인지, 확실한 근거가 없어 보인다.

그렇지만 패턴 오브 라이프 분석 같은 테크닉을 활용함으로써 점차 사이버 공격의 주체와 동기가 밝혀지고 있으며 기업들은 이런 정보를 활용해 공격이나 침입이 발생했을 때 피해를 최소화하고 더 이상의 피해가 발생하지 않도록 예방 조처를 할 수 있을 것이다.

*Paul Rubens는 IT전문 저널리스트로 BBC, CIO닷컴 등에 칼럼을 기고하고 있다. ciokr@idg.co.kr