보안

플레임과 같은 멜웨어를 이용한 보안 누출 사고 조사하기

Brandon Gregg | CSO 2012.08.08
컴퓨터에 로그인하면 읽기 쉬운 막대 그래프와 파이 그래프 형태의 통계로 가득 찬 화면이 반길 것이다. 특히 시선이 가는 한 그래프가 있다. 이는 이란의 한 서버에서 수백 명의 사용자 가운데, 단 한대의 컴퓨터가 대용량의 데이터를 전송한 것으로 표시된 그래프다.
 
마우스로 이 그래프를 더블 클릭하면, 사용자가 자신의 시스템에 외장 드라이브를 삽입해 프록시 웹사이트에 로그인한 후, 기업 방화벽이 놓친 외부 서버(일반적으로 국외 서버)에 암호화된 기밀 파일을 전송한 것을 확인할 수 있다. 몇 차례 마우스 클릭으로 해당 사용자의 장치에 로그인을 한 후, 범죄 과학적인 평가를 위해 문서를 포착한다.
 
용의자가 미상의 인물에게 기밀 파일을 누출한 확고한 증거를 바탕으로 해당 용의자의 문서에 디지털 추적 장치를 심어 최종 목적지를 추적한다. 마지막으로 용의자의 휴대폰에 표시한 후, SMS 문자와 GPS 좌표를 확인해 유죄를 입증한다.
 
미국 정부가 주도해 개발한 스파이웨어인 '플레임(Flame)'을 설명한 내용이라고 생각할 지 모르겠다. 그러나 이는 시장에 출시된 지 몇 년이 지난 프로그램으로 가능한 작업이다. 기업의 보안 누출 조사에 도움이 되는 프로그램들이다.
 
언론들은 가장 최근 발견된, 공식적으로 축출된 스턱스넷(Stuxnet)과 형제 격인 인텔 기반의 플레임(Flame) 몰웨어를 중점적으로 보도해왔다. 그러나 해커와 관련 산업 전문가는 이 멜웨어에 시큰둥한 반응을 보이고 있다. 플레임 류의 멜웨어는 이미 멜웨어와 판매용 소프트웨어 형태로 십여 년간 존재해왔던 것이기 때문이다.
 
RAT(Romote Access Tool)로 알려진 이 프로그램은 플레임과 유사하게 복잡하고 비범한 데이터 도난 기능을 갖추고 있다. ▲사용자의 스크린샷(screen shot)이나 키스트로크(keystroke)를 캡처하고 ▲파일을 다운로드 받고 ▲웹 캠을 훔쳐 감시하고 ▲노트북 컴퓨터의 마이크로폰을 엿듣고 ▲기타 사용자 시스템을 완벽하게 제어할 수 있는 기능을 제공하는 유료 및 무료 프로그램들이 있다.
 
다음은 보안 사고 조사 담당자들이 기업 내부의 보안 사고와 관련해 증거를 수집하는데 사용하는 프로그램들이다.
 
스펙터소프트의 360과 CNE, e블라스터
스펙터소프트(Spectorsoft)는 데이터를 보호하고, 용의자의 범죄 행위를 조사하는데 사용할 수 있는 스파이웨어 툴을 공급하고 있다. 이 업체의 360은 스크린샷, 채팅, 이메일, 파일 업로드, 인쇄 등 직원들의 컴퓨터 활동을 포착하고, 예외적인 활동을 데이터베이스로 만들어 보고하는 기업용 감시 툴이다.
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.