2017.10.10

“해킹 조직, 서로간 정보 탈취와 복제 한창”…카스퍼스키랩

편집부 | ITWorld
카스퍼스키랩은 사이버 공격 조직이 다른 조직을 적극적으로 해킹해, 피해자 데이터를 훔치고 도구와 기술을 이용하며 서로의 인프라를 재사용하는 사례가 증가하고 있다고 밝혔다.

카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT)은 이같은 경향 때문에 보안 연구원이 정확한 위협 인텔리전스를 제공하는 일이 더욱 어려워지고 있다고 설명했다.

정확한 위협 인텔리전스를 제공하기 위해서는 특정 해킹 조직의 단서가 되는 패턴과 도구를
밝혀내는 작업이 반드시 필요하다. 이러한 지식을 통해 다양한 해킹 조직의 목표와 공격 대상, 행동을 더욱 정확하게 파악해 기업의 위험 수준 판단에 도움을 줄 수 있다. 그러나 해킹 조직이 서로를 해킹하고 서로의 도구와 인프라, 심지어 피해자 정보까지 탈취하기 시작하면서 이러한 작업 모델은 급속도로 붕괴되고 있다.

카스퍼스키랩은 공격의 주체가 대개 국가의 지원을 받는 해킹 조직이며, 해외 기반이거나 실력이 뒤처지는 해킹 조직을 대상으로 실행하는 공격이라고 예상하고 있다. 이러한 상황 속에서 IT 보안 연구원은 상황에 맞는 인텔리전스를 제시하기 위해 이 새로운 공격의 징후를 포착하고 해석할 방법을 파악해야만 한다.

카스퍼스키랩 GReAT 연구진은 이 유형의 공격에 대한 심층 분석을 통해 수동적 공격과 능동적 공격이라는 두 가지 주요 접근법을 확인했다. 수동적 공격은 다른 해킹 조직에서 전송 중인 데이터를 가로채는 방식이다. 예를 들어 피해자와 C&C(명령 및 제어) 서버 사이에 데이터가 이동할 때를 노려 가로채는 것으로, 이 경우에는 탐지가 거의 불가능하다.

능동적 공격 방식은 다른 해킹 조직의 악성 코드 인프라에 침투하는 방식이다. 능동적 공격 방식을 취하는 해킹 조직은 탐지될 위험이 커지지만 그만큼 이득도 크다. 정기적으로 정보를 손에 넣어 다른 해킹 조직과 그 피해자를 모니터링 할 수 있고, 심지어 자체 악성 프로그램을 삽입하거나 피해자의 이름으로 공격을 개시할 수도 있다. 능동적 공격의 성공 여부는 대개 공격 대상이 운영 보안과 관련된 실수를 저지르는지에 따라 달라진다. 카스퍼스키랩 GReAT는 특정 해킹 조직을 조사하던 중 예상치 못한 이상한 정보를 다수 접하게 되었다. 이를 통해 능동적 공격은 이미 실제로 진행되고 있다는 사실을 알 수 있었다.

카스퍼스키랩은 이러한 사례로 ▲다른 조직의 C&C 인프라에 백도어 설치 ▲해킹한 웹사이트의 공유 ▲프록시를 이용한 공격 대상 선정 등을 들었다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “최근의 해킹 공격은 단서가 거의 없고 조작도 쉽기 때문에 여건이 좋아도 원인을 밝혀내기 어려운데 이제는 해킹 조직이 서로 해킹하며 발생한 영향까지 고려해야 하는 상황”이라며, “우리가 발견한 사례를 살펴보면 일부 공격이 이미 실제로 진행되고 있으므로 위협 인텔리전스 연구진은 고급 해킹 조직의 작업 분석에 대해 사고방식을 조금 바꿔볼 필요가 있다”고 말했다. editor@itworld.co.kr


2017.10.10

“해킹 조직, 서로간 정보 탈취와 복제 한창”…카스퍼스키랩

편집부 | ITWorld
카스퍼스키랩은 사이버 공격 조직이 다른 조직을 적극적으로 해킹해, 피해자 데이터를 훔치고 도구와 기술을 이용하며 서로의 인프라를 재사용하는 사례가 증가하고 있다고 밝혔다.

카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT)은 이같은 경향 때문에 보안 연구원이 정확한 위협 인텔리전스를 제공하는 일이 더욱 어려워지고 있다고 설명했다.

정확한 위협 인텔리전스를 제공하기 위해서는 특정 해킹 조직의 단서가 되는 패턴과 도구를
밝혀내는 작업이 반드시 필요하다. 이러한 지식을 통해 다양한 해킹 조직의 목표와 공격 대상, 행동을 더욱 정확하게 파악해 기업의 위험 수준 판단에 도움을 줄 수 있다. 그러나 해킹 조직이 서로를 해킹하고 서로의 도구와 인프라, 심지어 피해자 정보까지 탈취하기 시작하면서 이러한 작업 모델은 급속도로 붕괴되고 있다.

카스퍼스키랩은 공격의 주체가 대개 국가의 지원을 받는 해킹 조직이며, 해외 기반이거나 실력이 뒤처지는 해킹 조직을 대상으로 실행하는 공격이라고 예상하고 있다. 이러한 상황 속에서 IT 보안 연구원은 상황에 맞는 인텔리전스를 제시하기 위해 이 새로운 공격의 징후를 포착하고 해석할 방법을 파악해야만 한다.

카스퍼스키랩 GReAT 연구진은 이 유형의 공격에 대한 심층 분석을 통해 수동적 공격과 능동적 공격이라는 두 가지 주요 접근법을 확인했다. 수동적 공격은 다른 해킹 조직에서 전송 중인 데이터를 가로채는 방식이다. 예를 들어 피해자와 C&C(명령 및 제어) 서버 사이에 데이터가 이동할 때를 노려 가로채는 것으로, 이 경우에는 탐지가 거의 불가능하다.

능동적 공격 방식은 다른 해킹 조직의 악성 코드 인프라에 침투하는 방식이다. 능동적 공격 방식을 취하는 해킹 조직은 탐지될 위험이 커지지만 그만큼 이득도 크다. 정기적으로 정보를 손에 넣어 다른 해킹 조직과 그 피해자를 모니터링 할 수 있고, 심지어 자체 악성 프로그램을 삽입하거나 피해자의 이름으로 공격을 개시할 수도 있다. 능동적 공격의 성공 여부는 대개 공격 대상이 운영 보안과 관련된 실수를 저지르는지에 따라 달라진다. 카스퍼스키랩 GReAT는 특정 해킹 조직을 조사하던 중 예상치 못한 이상한 정보를 다수 접하게 되었다. 이를 통해 능동적 공격은 이미 실제로 진행되고 있다는 사실을 알 수 있었다.

카스퍼스키랩은 이러한 사례로 ▲다른 조직의 C&C 인프라에 백도어 설치 ▲해킹한 웹사이트의 공유 ▲프록시를 이용한 공격 대상 선정 등을 들었다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “최근의 해킹 공격은 단서가 거의 없고 조작도 쉽기 때문에 여건이 좋아도 원인을 밝혀내기 어려운데 이제는 해킹 조직이 서로 해킹하며 발생한 영향까지 고려해야 하는 상황”이라며, “우리가 발견한 사례를 살펴보면 일부 공격이 이미 실제로 진행되고 있으므로 위협 인텔리전스 연구진은 고급 해킹 조직의 작업 분석에 대해 사고방식을 조금 바꿔볼 필요가 있다”고 말했다. editor@itworld.co.kr


X