2017.08.01

“마이크로소프트 변호사 vs. 러시아 해커” 도메인 이름 차단 작전 현황

Preston Gralla | Computerworld
러시아 스파이 해커는 거의 전설적인 지위에 올랐다. 이들이 미국 민주당 전국위원회와 클린턴 선거본부를 어떻게 해킹했는지, 그리고 미국 대선에 어떻게 영향을 미쳤는지가 드러나면서 위상은 더욱 높아지고 있다. 미국 NSA와 미국 정보기관 전체가 한 단계에 뒤에 있는 것처럼 보이며, 최악의 사실은 아직 드러나지 않았는지도 모른다.

그런데 여기에 뜻밖의 구세주가 등장한다. 마이크로소프트의 변호사이다. 이들은 사이버 탐문 조사와 혁신적인 법적 소송을 함께 사용해 러시아의 가장 위험한 사이버 스파이 그룹 팬시 베어(Fancy Bear)를 공격하고 있다. 현재까지 이 전법은 먹혀들고 있다. 하지만 최종적으로 마이크로소프트가 이들 해커를 물리칠 수 있을지는 확실하지 않다.

해답을 찾기 위해 마이크로소프트가 조준하고 있는 그룹을 살펴보자. 팬시 베어는 가장 악명 높고 가장 성공적인 러시아 사이버 스파이 그룹으로, 러시아 군사 스파이 기관 GRU와 연결되어 있는 것으로 알려져 있다. APT28, 폰 스톰(Pawn Storm), 소파시 그룹(Sofacy Group), 세드닛(Sednit), 스트론티움(Strontium) 등의 이름으로도 알려진 팬시 베어는 2000년대 중반 등장해 기업보다는 정부기관이나 군사기관, 보안 조직 등을 공격했다.

이들의 공격은 금전적 이익이 동기가 아닌 것으로 보인다. 대신 러시아 정부의 이해에 도움이 되는 활동을 벌인다. 미국 민주당 전국위원회나 클린턴 선거본부 해킹을 차치하고도 이들은 NATO, 후보 시절의 엠마뉴엘 마크롱 프랑스 대통령, 독일 의회, 오바마 백악관 등을 공격했다.

팬시 베어의 공격은 보통 스피어피싱 이메일이나 뉴스 사이트로 위장해 방문자를 감염시키는 웹 사이트, 제로데이 취약점 등을 사용한다. 이런 강력한 툴에 맞서서 마이크로소프트는 자사의 사이버 전문지식과 함께 변호사들을 배치했다.

지난 해 마이크로소프트는 팬시 베어를 마이크로소프트의 상표권 침해와 컴퓨터 침입 혐의로 미국 연방 법원에 고소했다. 참고로 마이크로소프트는 소송에서 팬시 베어 대신 스트론티움이란 이름을 사용했다. 당연히 목적은 팬시 베어로부터 돈을 받아내는 것이 아니다. 마이크로소프트는 법원이 이들 해커를 완전히 막을 수 있다고 기대하지도 않는다. 마이크로소프트가 목표로 하는 것은 팬시 베어의 스파이 기법에서 가장 취약한 지점인 C&C(command-and-control) 서버이다. C&C 서버는 해커가 피해자의 컴퓨터에 심어놓은 악성 코드를 조종하는 역할을 한다. 만약 이들 서버를 단속해 막을 수 있다면, 악성코드는 염탐 작업을 할 수 없게 되고, 팬시 베어의 공격도 중단된다.

마이크로소프트는 영리한 방법을 동원했다. 팬시 베어는 전세계 여러 곳의 데이터센터에서 서버를 임대해 사용하지만, 이들은 마이크로소프트나 법원의 영향권 밖에 있다. 따라서 마이크로소프트는 도메인 등록기관이 마이크로소프트의 상표권을 침해한 도메인이자 해커가 악성코드 관련 트래픽을 경유하는 데 사용하는 도메인을 차단할 것을 법원에 요청했다. 마이크로소프트가 도메인에 대한 통제권을 확보하면 트래픽을 자사 서버로 돌릴 수 있고, 이는 해커와 피해자 간의 연결을 끊어 해킹 자체를 무효화한다. 또한 마이크로소프트의 스파이가 스파이를 염탐해 팬시 베어의 공격이 어떻게 이루어지는지 파악하는 데 이용할 수도 있다.

마이크로소프트가 지목한 자사 저작권을 침해한 팬시베어 보유 도메인 이름은 onedrivemicrosoft.com, outlook-security.org, rsshotmail.com and Microsoftsecurepolicy.org 등이다. 마이크로소프트는 팬시 베어가 사용하는 도메인 이름을 집요하게 조사했고, 법원에 이들 도메인에 대한 제어권을 다섯 번이나 요청했다. 이미 70개의 도메인 이름이 목록에 올라와 있으며, 팬시 베어 관련 도메인 조사 작업은 계속되고 있다.

팬시 베어가 마이크로소프트의 저작권을 침해할 위험을 안고 이런 도메인 이름을 사용한 것은 IT 관리자가 이런 이름이 마이크로소프트의 소유여서 안전하다고 생각하도록 하기 위한 것이다. 마이크로소프트는 소장으로 통해 “스트론티움이 사용하는 C&C 도메인은 보통 네트워크 관리자가 이들을 발견하고 트래픽을 점검한다 해도 주의를 끌지 않도록 만들어졌다”고 설명했다.

마이크로소프트는 소송을 통해 팬시 베어의 활동에 상당한 영향을 미쳤다고 주장한다. 마이크로소프트는 현재 자사가 통제하는 도메인으로 향하는 팬시 베어의 트래픽을 분석해 122건의 미인지 피해자에 대한 공격을 발견했다.

이런 작업은 분명 좋은 일이지만, 그렇다고 마이크로소프트가 팬시 베어를 완전히 막아낼 가능성은 크지 않다. 팬시베어가 마이크로소프트의 악성코드 대응 기법을 회피하기 위해 공격 방법을 바꿨다는 증거가 드러났기 때문이다. 보안 전문업체 쓰릿커넥트(ThreatConnect)는 팬시 베어가 C&C 서버용 도메인을 일반적이며 마이크로소프트를 거론하지 않는 것으로 바꾸기 시작했다고 밝혔다.

그럼에도 마이크로소프트의 전략은 분명 팬시 베어를 저지하고 활동을 어렵게 만들고 있다. 그리고 기업 IT 부서의 방어 조치에도 도움이 된다. 기업은 마이크로소프트의 소장을 확인해 팬시 베어 서버가 사용하는 도메인 이름의 유형과 적용한 사이버 스파이 기법을 확인할 필요가 있다. 그리고 네트워크 트래픽을 신중하게 조사해 안전해 보이는 이름을 안전한 것으로 가정하지 않아야 한다. 도메인 차단은 마이크로소프트가 팬시 베어를 막는 방법일 뿐만 아니라 기업 IT 부서가 자신을 보호하는 방법이 될 것이다.  editor@itworld.co.kr


2017.08.01

“마이크로소프트 변호사 vs. 러시아 해커” 도메인 이름 차단 작전 현황

Preston Gralla | Computerworld
러시아 스파이 해커는 거의 전설적인 지위에 올랐다. 이들이 미국 민주당 전국위원회와 클린턴 선거본부를 어떻게 해킹했는지, 그리고 미국 대선에 어떻게 영향을 미쳤는지가 드러나면서 위상은 더욱 높아지고 있다. 미국 NSA와 미국 정보기관 전체가 한 단계에 뒤에 있는 것처럼 보이며, 최악의 사실은 아직 드러나지 않았는지도 모른다.

그런데 여기에 뜻밖의 구세주가 등장한다. 마이크로소프트의 변호사이다. 이들은 사이버 탐문 조사와 혁신적인 법적 소송을 함께 사용해 러시아의 가장 위험한 사이버 스파이 그룹 팬시 베어(Fancy Bear)를 공격하고 있다. 현재까지 이 전법은 먹혀들고 있다. 하지만 최종적으로 마이크로소프트가 이들 해커를 물리칠 수 있을지는 확실하지 않다.

해답을 찾기 위해 마이크로소프트가 조준하고 있는 그룹을 살펴보자. 팬시 베어는 가장 악명 높고 가장 성공적인 러시아 사이버 스파이 그룹으로, 러시아 군사 스파이 기관 GRU와 연결되어 있는 것으로 알려져 있다. APT28, 폰 스톰(Pawn Storm), 소파시 그룹(Sofacy Group), 세드닛(Sednit), 스트론티움(Strontium) 등의 이름으로도 알려진 팬시 베어는 2000년대 중반 등장해 기업보다는 정부기관이나 군사기관, 보안 조직 등을 공격했다.

이들의 공격은 금전적 이익이 동기가 아닌 것으로 보인다. 대신 러시아 정부의 이해에 도움이 되는 활동을 벌인다. 미국 민주당 전국위원회나 클린턴 선거본부 해킹을 차치하고도 이들은 NATO, 후보 시절의 엠마뉴엘 마크롱 프랑스 대통령, 독일 의회, 오바마 백악관 등을 공격했다.

팬시 베어의 공격은 보통 스피어피싱 이메일이나 뉴스 사이트로 위장해 방문자를 감염시키는 웹 사이트, 제로데이 취약점 등을 사용한다. 이런 강력한 툴에 맞서서 마이크로소프트는 자사의 사이버 전문지식과 함께 변호사들을 배치했다.

지난 해 마이크로소프트는 팬시 베어를 마이크로소프트의 상표권 침해와 컴퓨터 침입 혐의로 미국 연방 법원에 고소했다. 참고로 마이크로소프트는 소송에서 팬시 베어 대신 스트론티움이란 이름을 사용했다. 당연히 목적은 팬시 베어로부터 돈을 받아내는 것이 아니다. 마이크로소프트는 법원이 이들 해커를 완전히 막을 수 있다고 기대하지도 않는다. 마이크로소프트가 목표로 하는 것은 팬시 베어의 스파이 기법에서 가장 취약한 지점인 C&C(command-and-control) 서버이다. C&C 서버는 해커가 피해자의 컴퓨터에 심어놓은 악성 코드를 조종하는 역할을 한다. 만약 이들 서버를 단속해 막을 수 있다면, 악성코드는 염탐 작업을 할 수 없게 되고, 팬시 베어의 공격도 중단된다.

마이크로소프트는 영리한 방법을 동원했다. 팬시 베어는 전세계 여러 곳의 데이터센터에서 서버를 임대해 사용하지만, 이들은 마이크로소프트나 법원의 영향권 밖에 있다. 따라서 마이크로소프트는 도메인 등록기관이 마이크로소프트의 상표권을 침해한 도메인이자 해커가 악성코드 관련 트래픽을 경유하는 데 사용하는 도메인을 차단할 것을 법원에 요청했다. 마이크로소프트가 도메인에 대한 통제권을 확보하면 트래픽을 자사 서버로 돌릴 수 있고, 이는 해커와 피해자 간의 연결을 끊어 해킹 자체를 무효화한다. 또한 마이크로소프트의 스파이가 스파이를 염탐해 팬시 베어의 공격이 어떻게 이루어지는지 파악하는 데 이용할 수도 있다.

마이크로소프트가 지목한 자사 저작권을 침해한 팬시베어 보유 도메인 이름은 onedrivemicrosoft.com, outlook-security.org, rsshotmail.com and Microsoftsecurepolicy.org 등이다. 마이크로소프트는 팬시 베어가 사용하는 도메인 이름을 집요하게 조사했고, 법원에 이들 도메인에 대한 제어권을 다섯 번이나 요청했다. 이미 70개의 도메인 이름이 목록에 올라와 있으며, 팬시 베어 관련 도메인 조사 작업은 계속되고 있다.

팬시 베어가 마이크로소프트의 저작권을 침해할 위험을 안고 이런 도메인 이름을 사용한 것은 IT 관리자가 이런 이름이 마이크로소프트의 소유여서 안전하다고 생각하도록 하기 위한 것이다. 마이크로소프트는 소장으로 통해 “스트론티움이 사용하는 C&C 도메인은 보통 네트워크 관리자가 이들을 발견하고 트래픽을 점검한다 해도 주의를 끌지 않도록 만들어졌다”고 설명했다.

마이크로소프트는 소송을 통해 팬시 베어의 활동에 상당한 영향을 미쳤다고 주장한다. 마이크로소프트는 현재 자사가 통제하는 도메인으로 향하는 팬시 베어의 트래픽을 분석해 122건의 미인지 피해자에 대한 공격을 발견했다.

이런 작업은 분명 좋은 일이지만, 그렇다고 마이크로소프트가 팬시 베어를 완전히 막아낼 가능성은 크지 않다. 팬시베어가 마이크로소프트의 악성코드 대응 기법을 회피하기 위해 공격 방법을 바꿨다는 증거가 드러났기 때문이다. 보안 전문업체 쓰릿커넥트(ThreatConnect)는 팬시 베어가 C&C 서버용 도메인을 일반적이며 마이크로소프트를 거론하지 않는 것으로 바꾸기 시작했다고 밝혔다.

그럼에도 마이크로소프트의 전략은 분명 팬시 베어를 저지하고 활동을 어렵게 만들고 있다. 그리고 기업 IT 부서의 방어 조치에도 도움이 된다. 기업은 마이크로소프트의 소장을 확인해 팬시 베어 서버가 사용하는 도메인 이름의 유형과 적용한 사이버 스파이 기법을 확인할 필요가 있다. 그리고 네트워크 트래픽을 신중하게 조사해 안전해 보이는 이름을 안전한 것으로 가정하지 않아야 한다. 도메인 차단은 마이크로소프트가 팬시 베어를 막는 방법일 뿐만 아니라 기업 IT 부서가 자신을 보호하는 방법이 될 것이다.  editor@itworld.co.kr


X