2021.10.19

위협 행위자들의 빠른 변화로 "공격자 특정 더 어려워졌다"

Cynthia Brumfield | CSO
사이버보안 공격을 실행한 위협 행위자를 특정하기는 원래 어려운 일이지만 위협 그룹의 빠른 변신으로 인해 더욱 어려워졌다. 연구진의 노력에도 불구하고 영원히 특정되지 않는 공격자들도 있다.
 
ⓒ Getty Images Bank

최근 VB2021 컨퍼런스에서 사이버보안 분석가와 연구원들은 콜로니얼 파이프라인, 소니 픽처스, 이란 철도 시스템 공격의 배후에 있는 악의적 행위자를 특정하기 위해 각자가 추적해 온 단서를 공개했다. 이 예시는 공격자 특정이 복잡하고 때로는 불가능한 이유가 무엇인지를 보여준다.


카바낙에서 블랙매터까지

크라우드스트라이크(CrowdStrike) 연구진은 지난 5월 발생한 콜로니얼 파이프라인 공격의 배후로 동유럽 또는 러시아에 근거지를 둔 것으로 추정되는 카본 스파이더(Carbon Spider)라는 위협 그룹을 지목했다. 그러나 VB2021에서 크라우드스트라이크의 선임 보안 연구원인 조시 레이놀즈와 선임 인텔리전스 분석가인 에릭 루는 이 그룹이 처음부터 '대규모' 랜섬웨어 위협은 아니었다는 점을 강조했다.

카본 스파이더는 2013년 카바낙(Carbanak) 악성코드를 사용해 금융기관을 공격한 것을 시작으로 2015년에는 POS 악성코드를 사용해 외식 및 숙박 업계를 공격해 결제카드 데이터를 수집했다. 2016년부터는 카본 스파이더에서 코발트 스파이더(Cobalt Spider)가 분리되어 카드 데이터 절도를 담당했고 카본 스파이더는 계속해서 금융기관을 표적으로 활동했다.

2020년 4월, 코로나19 팬데믹으로 인해 대면 거래가 줄어들자 이 그룹도 카드 데이터 절도에서 다른 쪽으로 공격 방향을 '급선회'할 수밖에 없었다. 이들은 레빌(REvil)의 서비스형 랜섬웨어(RaaS)를 사용하는 등 더 대담한 공격에 나섰다. 이후 2020년 8월, 카본 스파이더는 랜섬웨어 공격에서 자체 악성코드인 다크사이드(DarkSide)로 방향을 바꿔 2020년 11월부터는 협력자 공격 그룹에 RaaS를 제공하기 시작했다.

크라우드스트라이크는 하나의 증거가 아닌 수많은 다크사이드 사고를 카본 스파이더와 비교한 끝에 콜로니얼 파이프라인 공격 배후로 카본 스파이더를 지목했다. 이 연구진은 전술, 기법, 절차(TTPs), 특징적인 도구 사용, 공유된 인프라 및 기타 포렌식 증거를 조사, 분석한 결과 카본 스파이더를 콜로니얼 공격의 배후로 특정했다.

5월 8일 공격이 발생하고 일주일 후 다크사이드 RaaS는 운영을 중단했다. 3주 뒤, 미국 법무부가 다크사이드에 지급된 콜로니얼 파이프라인 몸값을 압류했다고 발표했다.

그러나 이런 상황 전개에도 불구하고 카본 스파이더는 활동을 멈추지 않았고, 이에 미국 정부와 국제 사회는 이들을 맹렬히 비판하고 나섰다. 증거를 조합해 보면 카본 스파이더는 다른 악성코드 관련 사고에서 활동을 재개한 것으로 보인다. 

7월 21일에는 블랙매터(BlackMatter)라는 새로운 공격그룹이 등장해 연간 매출 1억 달러 이상의 미국, 캐나다, 오스트레일리아, 영국 기업을 표적으로 한 대규모 랜섬웨어 공격을 모색하는 조짐을 보였다. 

크라우드스트라이크는 다크사이드와 블랙매터 윈도우 변종을 리버스 엔지니어링한 결과 블랙매터가 겉모습만 바꾼 다크사이드라고 믿을 만한 충분한 공통점을 발견했다. 이 연구진은 랜섬웨어 그룹이 가진 진정한 위험성은 새로운 추세에 적응하고 스스로를 변화하는 점이라고 말했다. 랜섬웨어가 큰 수익이 나는 만큼 이 그룹이 예전의 POS 데이터 절도로 돌아갈 일은 없다.

루는 “카본 스파이더는 끊임없이 진화한다. 항상 새로운 초기 접근 벡터, 새로운 중개 파워셸 스테이저, 공격자, 로더를 들고 나온다. 확실한 것은 이들이 계속해서 혁신한다는 것이다. 1년 뒤엔 지금보다 훨씬 더 진보된 상태가 된다 해도 전혀 놀랍지 않다”라고 분석했다.

 
많은 집단으로 확대 구성된 라자러스

보안 연구진은 모든 북한 악성코드의 배후에는 라자러스 그룹(Lazarus Group), 또는 히든 코브라(Hidden Cobra)로 알려진 위협 행위자가 있는 것으로 본다. 라자러스는 2014년 소니 픽처스 공격으로 가장 잘 알려졌고, 2017년 워너크라이(WannaCry) 2.0 공격과도 연관이 있었다. 또한 카스퍼스키(Kaspersky)의 글로벌 연구 및 분석팀 박성수 선임 보안 연구원은 라자러스 그룹과 중국 위협 그룹으로 알려진 윈티(Winni)를 혼동할 수도 있다고 말했다.

라자러스는 그동안 진화를 거듭했고 현재 다음과 같은 여러 '집단'을 포함하고 있다.
 
  • 스레트니들(ThreatNeedle): 암호화폐 거래소, 모바일 게임 기업, 방산업계, 보안 연구소를 상대로 공격
  • 애플제우스(AppleJeus): 암호화폐 거래소, 핀테크 기업, 블록체인 기업을 표적으로 공격
  • 북코드(Bookcode): 소프트웨어 공급업체, 방산, 제약 기업을 중심으로 공격
  • 데스노트(DeathNote, 드림잡(DreamJob)으로도 알려짐): 자동차 기업, 학교, 방산업체, 연구소, 소프트웨어 공급업체를 상대로 공격
  • 쿠키타임(CookeTime, LCPDot으로도 알려짐): 방산, 에너지, 제약 분야 기업을 상대로 공격
  • MATA(Dacls로도 알려짐): 라자러스와 느슨하게 연결된 그룹으로, 사이버 범죄 및 스파이 활동에 집중

박성수 연구원은 각기 다른 유사성과 차이점을 가진 더 많은 라자러스 집단이 존재할 수도 있다고 말했다. 핵심은 모든 공격 그룹이 끊임없이 진화한다는 것이다. 박 연구원은 “모든 위협 행위자는 변화한다. 이들의 내부 구조와 지도부도 계속 바뀐다. 이런 지속적인 변화가 특정을 어렵게 한다”라고 토로했다.


인드라 위협 그룹, 국가 행위자일 가능성 배제 못해

마지막으로, 최고 수준의 위협 인텔리전스 분석가의 치밀한 조사에도 불구하고 위협 행위자를 특정할 수는 없는 경우도 있다. 예를 들어 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 선임 악성코드 연구원인 이테이 코헨과 체크포인트 위협 인텔리전스 분석 팀 악성코드 분석가인 알렉산드라 고프만은 2021년 7월 초에 발생한 이란 철도 시스템 해킹 사건에 대한 조사를 다음과 같이 설명했다.

"이란 철도 시스템 전체를 작동 불능에 빠트린 이 공격은 각 철도 정거장의 전자 알림판에 사이버 공격으로 인해 운행이 지연되고 있으며, 승객들에게 당시 이란의 최고 지도자인 알리 하메네이로 연결되는 번호인 64411로 전화를 하라는 안내 메시지를 표시하는 것으로 시작됐다. 이 공격에 사용한 주된 수단은 미티어(Meteor)라는 와이퍼 악성코드다."

미티어는 시리아 항공업체인 샴 윙스(Cham Wings), 시리아 환전 기업인 알-파델(Al-Fadel)과 석유 거래 및 정유업체를 상대로 한 비슷한 공격에 사용된 코멧(Comet), 스타더스트(Stardust)라는 2개의 다른 와이퍼 악성코드와 연결됐다. 3가지 와이퍼 변종에는 모두 힌두교에서 전쟁의 신인 인드라를 언급하는 '나는 인드라다(I am Indra)'라는 말로 시작되는 배경 이미지가 포함되었기 때문에, 공격 배후 그룹에 인드라라는 이름이 붙게 됐다. 이 모든 사고에서 공격자는 자신들이 이란을 적대시하는 정치적 명분으로 디지털 전쟁에 참여하는 '핵티비스트(hacktivists)'라고 말했다.

이란은 핵티비스트들의 빈번한 공격 대상이다. 2018년에는 타판데간(Tapandegan)이라는 핵티비스트 그룹이 이란의 공항 두 곳을 공격했다. 이란 당국은 공격자들을 찾아 체포했다고 주장했지만 몇 개월 후에 이란 방송 시스템과 베를린 이란 영사관의 이메일이 이 그룹에 의해 해킹됐다.

2021년 8월에는 에달랏-이 알리(Edalat-e Ali, 알리의 정의)라는 핵티비스트 그룹이 이란의 에빈(Evin) 교도소를 공격했다. 이 공격은 교도소의 보안 카메라에 포착된 끔찍한 영상이 언론을 통해 공개되면서 알려졌다.

이런 모든 공격에 대한 세부적인 지식과 철도 공격에 사용된 와이퍼 악성코드의 실행 과정에 대한 확실한 자료에도 불구하고, 체크포인트는 이 공격의 배후 세력을 특정하지 못했다. 코헨은 “인드라가 감행한 공격의 전후에는 핵티비스트 공격이라고 말하는 이들이 있었다”라고 말했다.

코헨은 “이런 그룹이 핵티비스트일 뿐 국가 후원을 받는 단체가 아니라고 누가 장담할 수 있을까? 국가의 후원을 받는 그룹일 가능성도 배제할 수 없다. 최근 몇 년 동안 국가가 핵티비스트로 가장한 여러 공격이 있었다. 2016년 미국 대통령 선거 경선에서 구시퍼(Guccifer) 2.0으로 위장한 러시아 정보 기관의 작전이 바로 그 예다. 인드라의 배후에는 누가 있을까? 알 수 없다”라고 덧붙였다. editor@itworld.co.kr


2021.10.19

위협 행위자들의 빠른 변화로 "공격자 특정 더 어려워졌다"

Cynthia Brumfield | CSO
사이버보안 공격을 실행한 위협 행위자를 특정하기는 원래 어려운 일이지만 위협 그룹의 빠른 변신으로 인해 더욱 어려워졌다. 연구진의 노력에도 불구하고 영원히 특정되지 않는 공격자들도 있다.
 
ⓒ Getty Images Bank

최근 VB2021 컨퍼런스에서 사이버보안 분석가와 연구원들은 콜로니얼 파이프라인, 소니 픽처스, 이란 철도 시스템 공격의 배후에 있는 악의적 행위자를 특정하기 위해 각자가 추적해 온 단서를 공개했다. 이 예시는 공격자 특정이 복잡하고 때로는 불가능한 이유가 무엇인지를 보여준다.


카바낙에서 블랙매터까지

크라우드스트라이크(CrowdStrike) 연구진은 지난 5월 발생한 콜로니얼 파이프라인 공격의 배후로 동유럽 또는 러시아에 근거지를 둔 것으로 추정되는 카본 스파이더(Carbon Spider)라는 위협 그룹을 지목했다. 그러나 VB2021에서 크라우드스트라이크의 선임 보안 연구원인 조시 레이놀즈와 선임 인텔리전스 분석가인 에릭 루는 이 그룹이 처음부터 '대규모' 랜섬웨어 위협은 아니었다는 점을 강조했다.

카본 스파이더는 2013년 카바낙(Carbanak) 악성코드를 사용해 금융기관을 공격한 것을 시작으로 2015년에는 POS 악성코드를 사용해 외식 및 숙박 업계를 공격해 결제카드 데이터를 수집했다. 2016년부터는 카본 스파이더에서 코발트 스파이더(Cobalt Spider)가 분리되어 카드 데이터 절도를 담당했고 카본 스파이더는 계속해서 금융기관을 표적으로 활동했다.

2020년 4월, 코로나19 팬데믹으로 인해 대면 거래가 줄어들자 이 그룹도 카드 데이터 절도에서 다른 쪽으로 공격 방향을 '급선회'할 수밖에 없었다. 이들은 레빌(REvil)의 서비스형 랜섬웨어(RaaS)를 사용하는 등 더 대담한 공격에 나섰다. 이후 2020년 8월, 카본 스파이더는 랜섬웨어 공격에서 자체 악성코드인 다크사이드(DarkSide)로 방향을 바꿔 2020년 11월부터는 협력자 공격 그룹에 RaaS를 제공하기 시작했다.

크라우드스트라이크는 하나의 증거가 아닌 수많은 다크사이드 사고를 카본 스파이더와 비교한 끝에 콜로니얼 파이프라인 공격 배후로 카본 스파이더를 지목했다. 이 연구진은 전술, 기법, 절차(TTPs), 특징적인 도구 사용, 공유된 인프라 및 기타 포렌식 증거를 조사, 분석한 결과 카본 스파이더를 콜로니얼 공격의 배후로 특정했다.

5월 8일 공격이 발생하고 일주일 후 다크사이드 RaaS는 운영을 중단했다. 3주 뒤, 미국 법무부가 다크사이드에 지급된 콜로니얼 파이프라인 몸값을 압류했다고 발표했다.

그러나 이런 상황 전개에도 불구하고 카본 스파이더는 활동을 멈추지 않았고, 이에 미국 정부와 국제 사회는 이들을 맹렬히 비판하고 나섰다. 증거를 조합해 보면 카본 스파이더는 다른 악성코드 관련 사고에서 활동을 재개한 것으로 보인다. 

7월 21일에는 블랙매터(BlackMatter)라는 새로운 공격그룹이 등장해 연간 매출 1억 달러 이상의 미국, 캐나다, 오스트레일리아, 영국 기업을 표적으로 한 대규모 랜섬웨어 공격을 모색하는 조짐을 보였다. 

크라우드스트라이크는 다크사이드와 블랙매터 윈도우 변종을 리버스 엔지니어링한 결과 블랙매터가 겉모습만 바꾼 다크사이드라고 믿을 만한 충분한 공통점을 발견했다. 이 연구진은 랜섬웨어 그룹이 가진 진정한 위험성은 새로운 추세에 적응하고 스스로를 변화하는 점이라고 말했다. 랜섬웨어가 큰 수익이 나는 만큼 이 그룹이 예전의 POS 데이터 절도로 돌아갈 일은 없다.

루는 “카본 스파이더는 끊임없이 진화한다. 항상 새로운 초기 접근 벡터, 새로운 중개 파워셸 스테이저, 공격자, 로더를 들고 나온다. 확실한 것은 이들이 계속해서 혁신한다는 것이다. 1년 뒤엔 지금보다 훨씬 더 진보된 상태가 된다 해도 전혀 놀랍지 않다”라고 분석했다.

 
많은 집단으로 확대 구성된 라자러스

보안 연구진은 모든 북한 악성코드의 배후에는 라자러스 그룹(Lazarus Group), 또는 히든 코브라(Hidden Cobra)로 알려진 위협 행위자가 있는 것으로 본다. 라자러스는 2014년 소니 픽처스 공격으로 가장 잘 알려졌고, 2017년 워너크라이(WannaCry) 2.0 공격과도 연관이 있었다. 또한 카스퍼스키(Kaspersky)의 글로벌 연구 및 분석팀 박성수 선임 보안 연구원은 라자러스 그룹과 중국 위협 그룹으로 알려진 윈티(Winni)를 혼동할 수도 있다고 말했다.

라자러스는 그동안 진화를 거듭했고 현재 다음과 같은 여러 '집단'을 포함하고 있다.
 
  • 스레트니들(ThreatNeedle): 암호화폐 거래소, 모바일 게임 기업, 방산업계, 보안 연구소를 상대로 공격
  • 애플제우스(AppleJeus): 암호화폐 거래소, 핀테크 기업, 블록체인 기업을 표적으로 공격
  • 북코드(Bookcode): 소프트웨어 공급업체, 방산, 제약 기업을 중심으로 공격
  • 데스노트(DeathNote, 드림잡(DreamJob)으로도 알려짐): 자동차 기업, 학교, 방산업체, 연구소, 소프트웨어 공급업체를 상대로 공격
  • 쿠키타임(CookeTime, LCPDot으로도 알려짐): 방산, 에너지, 제약 분야 기업을 상대로 공격
  • MATA(Dacls로도 알려짐): 라자러스와 느슨하게 연결된 그룹으로, 사이버 범죄 및 스파이 활동에 집중

박성수 연구원은 각기 다른 유사성과 차이점을 가진 더 많은 라자러스 집단이 존재할 수도 있다고 말했다. 핵심은 모든 공격 그룹이 끊임없이 진화한다는 것이다. 박 연구원은 “모든 위협 행위자는 변화한다. 이들의 내부 구조와 지도부도 계속 바뀐다. 이런 지속적인 변화가 특정을 어렵게 한다”라고 토로했다.


인드라 위협 그룹, 국가 행위자일 가능성 배제 못해

마지막으로, 최고 수준의 위협 인텔리전스 분석가의 치밀한 조사에도 불구하고 위협 행위자를 특정할 수는 없는 경우도 있다. 예를 들어 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 선임 악성코드 연구원인 이테이 코헨과 체크포인트 위협 인텔리전스 분석 팀 악성코드 분석가인 알렉산드라 고프만은 2021년 7월 초에 발생한 이란 철도 시스템 해킹 사건에 대한 조사를 다음과 같이 설명했다.

"이란 철도 시스템 전체를 작동 불능에 빠트린 이 공격은 각 철도 정거장의 전자 알림판에 사이버 공격으로 인해 운행이 지연되고 있으며, 승객들에게 당시 이란의 최고 지도자인 알리 하메네이로 연결되는 번호인 64411로 전화를 하라는 안내 메시지를 표시하는 것으로 시작됐다. 이 공격에 사용한 주된 수단은 미티어(Meteor)라는 와이퍼 악성코드다."

미티어는 시리아 항공업체인 샴 윙스(Cham Wings), 시리아 환전 기업인 알-파델(Al-Fadel)과 석유 거래 및 정유업체를 상대로 한 비슷한 공격에 사용된 코멧(Comet), 스타더스트(Stardust)라는 2개의 다른 와이퍼 악성코드와 연결됐다. 3가지 와이퍼 변종에는 모두 힌두교에서 전쟁의 신인 인드라를 언급하는 '나는 인드라다(I am Indra)'라는 말로 시작되는 배경 이미지가 포함되었기 때문에, 공격 배후 그룹에 인드라라는 이름이 붙게 됐다. 이 모든 사고에서 공격자는 자신들이 이란을 적대시하는 정치적 명분으로 디지털 전쟁에 참여하는 '핵티비스트(hacktivists)'라고 말했다.

이란은 핵티비스트들의 빈번한 공격 대상이다. 2018년에는 타판데간(Tapandegan)이라는 핵티비스트 그룹이 이란의 공항 두 곳을 공격했다. 이란 당국은 공격자들을 찾아 체포했다고 주장했지만 몇 개월 후에 이란 방송 시스템과 베를린 이란 영사관의 이메일이 이 그룹에 의해 해킹됐다.

2021년 8월에는 에달랏-이 알리(Edalat-e Ali, 알리의 정의)라는 핵티비스트 그룹이 이란의 에빈(Evin) 교도소를 공격했다. 이 공격은 교도소의 보안 카메라에 포착된 끔찍한 영상이 언론을 통해 공개되면서 알려졌다.

이런 모든 공격에 대한 세부적인 지식과 철도 공격에 사용된 와이퍼 악성코드의 실행 과정에 대한 확실한 자료에도 불구하고, 체크포인트는 이 공격의 배후 세력을 특정하지 못했다. 코헨은 “인드라가 감행한 공격의 전후에는 핵티비스트 공격이라고 말하는 이들이 있었다”라고 말했다.

코헨은 “이런 그룹이 핵티비스트일 뿐 국가 후원을 받는 단체가 아니라고 누가 장담할 수 있을까? 국가의 후원을 받는 그룹일 가능성도 배제할 수 없다. 최근 몇 년 동안 국가가 핵티비스트로 가장한 여러 공격이 있었다. 2016년 미국 대통령 선거 경선에서 구시퍼(Guccifer) 2.0으로 위장한 러시아 정보 기관의 작전이 바로 그 예다. 인드라의 배후에는 누가 있을까? 알 수 없다”라고 덧붙였다. editor@itworld.co.kr


X