Offcanvas

CIO / 검색|인터넷 / 라이프 / 보안 / 인문학|교양 / 통신|네트워크

'해커를 알면 사이버 공격이 보인다' 왜? 어떻게?

2016.12.16 Paul Rubens  |  CIO


또 한 가지 중요한 사실은 실제로 해커들은 서로 대면하는 일이 잘 없다는 점이다. 그보다는 웹이나 다크 웹의 해커 포럼을 통해 정보와 툴, 해킹된 데이터를 교환한다.

실시간 위협 지능 제공업체 레코디드 퓨처(Recorded Future)의 창립자이자 CEO인 크리스토퍼 앨버그에 따르면, 이러한 포럼들은 특히 법 집행 기관이나 보안 전문가들에게 중요한 정보의 소스가 된다. 런던에서 열린 블랙 햇 유럽 2016 보안 컨퍼런스에서 앨버그는 해커의 신원 파악 성패 여부가 많은 경우 해커 포럼의 ‘어설픈 핸들 사용(sloppy handle usage)’에 달려 있다고 말했다.

“도메인명을 등록한 후 똑같은 핸들을 해커 포럼과 개발자 포럼, 소셜 네트워크 등에서 함께 사용하는 경우가 관측된다”고 그는 말했다. 이런 식으로 (일부 이메일 주소일 수도 있는)핸들을 재사용할 경우 그 포럼 멤버가 누구인지 알아내기가 상대적으로 쉬워지며, 특히 포럼 포스트는 특정 해킹을 주도한 인물이나 단체를 특정하는 정보를 담고 있는 경우가 많다.

앨버그와 같은 보안 전문가들을 난감하게 만드는 것은 지능적 해커들일수록 작전 보안에 철저해 이런 식으로 핸들을 재사용하지 않는다는 사실이다. 그는 “그래서 이들은 포럼마다, 심지어 동일 포럼 내에서도 핸들을 바꿔가며 활동하는, 소위 핸들 호핑(handle hopping)을 한다”고 설명했다.

패턴 파악
이런 식의 핸들 호핑에 어떻게 대처하면 좋을까? 패턴 오브 라이프(Pattern of Life analysis) 분석이 하나의 솔루션이 될 수도 있다. 위키피디아는 이 분석 방식을 ‘단수 또는 복수 대상의 습성을 관찰하고 이해하기 위해 고안된 감시 방법이다. 이렇게 얻어진 정보로 관찰 대상의 향후 행동을 예측할 수 있다’라고 설명하고 있다.

실제로 패턴 오브 라이프 분석은 범죄 통계부터 우버 이용 패턴, 특정 행위 패턴에 이르기까지 다양한 종류의 데이터에 적용될 수 있다고 앨버그는 말했다. 예를 들어 발렌타인데이 같은 경우 새벽 1시부터 5시 사이에 우버 이용 횟수가 매우 많지만, 납세일(Tax Day)에는 그런 현상이 전혀 관찰되지 않았다. 또한 시카고에서 도둑들이 가택 침입을 가장 많이 시도하는 시간대는 아침 아홉 시이며, 마약상들이 가장 활발하게 활동하는 시간은 점심시간과 저녁시간대라는 점도 매우 흥미롭다.

사이버 범죄에서도 이와 비슷한 행동 패턴을 발견할 수 있다. 레코디드 퓨쳐 사의 자동 시스템은 웹 및 다크웹의 750여 개 범죄 및 해킹 포럼에서 데이터를 수집했다. 이들 포럼은 중국어, 러시아어, 아랍어를 비롯해 7개 언어를 사용하고 있었다. 140만 개의 핸들에 대한 데이터를 처리해 분석했더니 흥미로운 결과가 나왔다.

포럼 핸들의 96% 이상이 딱 한 번만 사용되었으며, 이는 이들 포럼을 방문하는 해커들 절대다수가 핸들 사용 패턴을 통한 신원 파악에 관해 알고 있고 이를 조심하고 있음을 보여준다.

하지만 항상 그런 것은 아니었으며, 몇몇 예외적인 경우를 통해 이 곳에서 활동하는 해커와 이들의 활동에 대해 좀 더 많은 정보를 파악할 수 있었다. 앨버그는 “2개의 핸들 패턴이 함께 움직이는 것이 관찰될 경우 동일 인물이 2개의 핸들을 이용하는 것이거나, 혹은 2명이 공범일 가능성이 있다. 따라서 문제는 비슷한 행동 패턴을 보이는 핸들들을 파악하는 것이다. 이러한 ‘짝꿍’들을 찾아냄으로써 궁극적으로 해커의 신원 파악도 가능해질 것으로 보인다”고 설명했다.

포럼에서 사용하는 언어를 통해서도 많은 정보를 추출할 수 있다. 특히 해커들의 활동 시간은 다 제각각이었는데, 예를 들어 이란 해커들의 경우 낮에 주로 활동했는데, 이는 이들 중 상당수가 학생으로 보인다. 러시아 해커들은 저녁 시간에 왕성한 활동을 보였는데, 아마도 낮 동안 따로 직장이 있으며 부업으로 해킹하는 이들이라고 추측할 수 있다.

또한 러시아어 웹사이트를 방문하는 해커들 역시 사이트 방문 시간이 제각각 이었는데 이것은 이들이 블라디보스토크와 모스크바처럼 각기 다른 시간대에서 활동하고 있음을 알려준다.

공휴일을 기준으로 한 정보도 해커들의 신원 파악에 유의미한 도움을 준다. 예를 들어 러시아 해커들은 12월 31일을 전후로 하여 서서히 뜸해지는 편이고(이유는 분명하다), 아랍 해커들의 경우 라마단 기간 동안(아마도 다른 할 일이 없기 때문에) 활동이 늘어나는 편이다.

이 모든 정보를 종합해 봤을 때, 해커의 신원을 어느 정도까지 좁혀나갈 수는 있지만 아직 그 정확도를 신뢰하기는 어려운 단계에 있다. 2년 전 발생한 소니 해킹 사건만 해도 사실 미국 정부가 어떻게 그것을 북한 정부의 소행으로 확신한 것인지, 확실한 근거가 없어 보인다.

그렇지만 패턴 오브 라이프 분석 같은 테크닉을 활용함으로써 점차 사이버 공격의 주체와 동기가 밝혀지고 있으며 기업들은 이런 정보를 활용해 공격이나 침입이 발생했을 때 피해를 최소화하고 더 이상의 피해가 발생하지 않도록 예방 조처를 할 수 있을 것이다.

*Paul Rubens는 IT전문 저널리스트로 BBC, CIO닷컴 등에 칼럼을 기고하고 있다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.