2016.12.16

'해커를 알면 사이버 공격이 보인다' 왜? 어떻게?

Paul Rubens | CIO
해커가 누구며 이들이 무엇을 원하는지 아는 것은 네트워크 보안 침해의 영향을 최소화하는 열쇠다. 보안 전문가들이 해커를 식별하는 데 사용하는 방법을 소개한다.


Credit: Pixabay


다음과 같은 상황을 상상해보자. 회사 네트워크가 디도스 공격을 받는 상황인데, 공격자가 누구인지, 왜 이런 짓을 하는지 아무런 정보가 없다. 이런 정보 없이는 공격을 멈추는 대가로 금전을 원하는 것인지, 아니면 보안팀의 주의를 한쪽으로 끌고 그 틈을 타 네트워크에 침투해 중요 정보를 훔쳐가려는 것인지, 해커가 정확히 무엇을 노리는지 파악할 수 없다.

그뿐만 아니라, 네트워크 공격 직후에는 공격자에 관한 정보를 조금이라도 알고 있는 것이 큰 도움이 될 수 있다. 이들이 누구인지, 어디에 소속되어 있는지만 알아도 훨씬 정확하게 공격의 영향을 예상할 수 있기 때문이다. 특히 데이터가 유출된 위치나, 해커가 남겨두고 갔을 수 있는 트로이 목마 바이러스나 익스플로잇 키트의 존재를 파악하는 데도 이러한 정보가 필요하다.

또 공격자의 신원을 알면 공격의 목적이나 동기, 그리고 결과가 어떠할지에 대해서도 어느 정도 추측할 수 있다. 예를 들어, 신용카드 정보처럼 재판매가 가능한 정보라면 가리지 않고 노리는 부류도 있지만, 외국 정부 및 국가 주도 해커들의 경우처럼 특정한 정보만을 노리는 이들도 있다.

버지니아 주에 있는 보안업체 쓰렛커넥트(ThreatConnect)의 위협 지능 애널리스트 카일 엠키는 "공격자의 신원만 알아도 그의 목적과 역량, 인프라를 파악할 수 있다. 특히 공격자가 왜, 어떻게 공격을 감행했는지 아는 것은 매우 중요하다"고 말했다.

무엇보다 공격자에 대한 정보는 향후 기업의 보안 대책을 세우고 예산을 어떻게 분배할지 결정하는 데 필요하다. 예를 들어 특정 정보를 노리고 침투했으나 그 목적을 전부 다 달성하지 못하고 돌아갔다면, 이 해커들이 다시 노릴 가능성이 높은 정보나 자산 위주로 보안을 강화할 수 있을 것이다.

그러나 해커의 신원 및 소속을 파악하는 것은 무엇보다 대규모 보안 위협이 발생했을 때 가장 중요해진다. FBI가 북한 정부와 연계된 해커들의 소행으로 지목한 2014년 소니 해킹 사건 같은 대규모 해킹의 경우 국가 안보 차원의 위협을 가할 수 있으며 정치적으로도 영향력을 미칠 수 있다.

그렇다면 보안 전문가들은 어떻게 해커들의 신원 및 정보를 파악하고 있을까?


포럼 탐색
우선 알아야 할 것은 공격자의 신원 파악이 매우 어려운 작업이라는 사실이다. 해커들은 대부분 자신들의 현재 위치에서 멀리 떨어진 곳의 서버에서 하나 이상의 프록시를 거쳐 공격해오기 때문에, 표면적으로 드러난 공격의 소스는 신뢰할 수 없다. 디도스 공격 같은 경우 글로벌 봇넷을 구성하는 수천 대의 기계로부터 트래픽이 유입되기도 한다.

또 침범당한 서버에 남겨진 메시지나 익스플로잇 코드에 사용된 언어만으로 해커의 신원이나 국적을 파악하기도 쉽지 않다. 해커들 간에 서로 툴을 공유하고, 거래하며, 복제하거나 심지어 훔치는 경우도 많으므로 코드에서 러시아어가 발견되었다고 해도 진짜 범인은 페루나 북한의 대학생일 가능성도 없지 않다. 또 설령 실수로 자신의 흔적을 남기는 해커가 있다 해도(위에서 예로 든 러시아어처럼), 고의로 헷갈리게 만들 목적으로 비슷한 흔적을 남기는 다른 해커들의 사례가 있으므로 어느 쪽인지 판별하기란 쉽지 않다.




2016.12.16

'해커를 알면 사이버 공격이 보인다' 왜? 어떻게?

Paul Rubens | CIO
해커가 누구며 이들이 무엇을 원하는지 아는 것은 네트워크 보안 침해의 영향을 최소화하는 열쇠다. 보안 전문가들이 해커를 식별하는 데 사용하는 방법을 소개한다.


Credit: Pixabay


다음과 같은 상황을 상상해보자. 회사 네트워크가 디도스 공격을 받는 상황인데, 공격자가 누구인지, 왜 이런 짓을 하는지 아무런 정보가 없다. 이런 정보 없이는 공격을 멈추는 대가로 금전을 원하는 것인지, 아니면 보안팀의 주의를 한쪽으로 끌고 그 틈을 타 네트워크에 침투해 중요 정보를 훔쳐가려는 것인지, 해커가 정확히 무엇을 노리는지 파악할 수 없다.

그뿐만 아니라, 네트워크 공격 직후에는 공격자에 관한 정보를 조금이라도 알고 있는 것이 큰 도움이 될 수 있다. 이들이 누구인지, 어디에 소속되어 있는지만 알아도 훨씬 정확하게 공격의 영향을 예상할 수 있기 때문이다. 특히 데이터가 유출된 위치나, 해커가 남겨두고 갔을 수 있는 트로이 목마 바이러스나 익스플로잇 키트의 존재를 파악하는 데도 이러한 정보가 필요하다.

또 공격자의 신원을 알면 공격의 목적이나 동기, 그리고 결과가 어떠할지에 대해서도 어느 정도 추측할 수 있다. 예를 들어, 신용카드 정보처럼 재판매가 가능한 정보라면 가리지 않고 노리는 부류도 있지만, 외국 정부 및 국가 주도 해커들의 경우처럼 특정한 정보만을 노리는 이들도 있다.

버지니아 주에 있는 보안업체 쓰렛커넥트(ThreatConnect)의 위협 지능 애널리스트 카일 엠키는 "공격자의 신원만 알아도 그의 목적과 역량, 인프라를 파악할 수 있다. 특히 공격자가 왜, 어떻게 공격을 감행했는지 아는 것은 매우 중요하다"고 말했다.

무엇보다 공격자에 대한 정보는 향후 기업의 보안 대책을 세우고 예산을 어떻게 분배할지 결정하는 데 필요하다. 예를 들어 특정 정보를 노리고 침투했으나 그 목적을 전부 다 달성하지 못하고 돌아갔다면, 이 해커들이 다시 노릴 가능성이 높은 정보나 자산 위주로 보안을 강화할 수 있을 것이다.

그러나 해커의 신원 및 소속을 파악하는 것은 무엇보다 대규모 보안 위협이 발생했을 때 가장 중요해진다. FBI가 북한 정부와 연계된 해커들의 소행으로 지목한 2014년 소니 해킹 사건 같은 대규모 해킹의 경우 국가 안보 차원의 위협을 가할 수 있으며 정치적으로도 영향력을 미칠 수 있다.

그렇다면 보안 전문가들은 어떻게 해커들의 신원 및 정보를 파악하고 있을까?


포럼 탐색
우선 알아야 할 것은 공격자의 신원 파악이 매우 어려운 작업이라는 사실이다. 해커들은 대부분 자신들의 현재 위치에서 멀리 떨어진 곳의 서버에서 하나 이상의 프록시를 거쳐 공격해오기 때문에, 표면적으로 드러난 공격의 소스는 신뢰할 수 없다. 디도스 공격 같은 경우 글로벌 봇넷을 구성하는 수천 대의 기계로부터 트래픽이 유입되기도 한다.

또 침범당한 서버에 남겨진 메시지나 익스플로잇 코드에 사용된 언어만으로 해커의 신원이나 국적을 파악하기도 쉽지 않다. 해커들 간에 서로 툴을 공유하고, 거래하며, 복제하거나 심지어 훔치는 경우도 많으므로 코드에서 러시아어가 발견되었다고 해도 진짜 범인은 페루나 북한의 대학생일 가능성도 없지 않다. 또 설령 실수로 자신의 흔적을 남기는 해커가 있다 해도(위에서 예로 든 러시아어처럼), 고의로 헷갈리게 만들 목적으로 비슷한 흔적을 남기는 다른 해커들의 사례가 있으므로 어느 쪽인지 판별하기란 쉽지 않다.


X