»çÀ̹ö °ø°Ý ÈçÀû ¿¬°áÇϸé Á¤±³ÇÑ À§ÇùÀÇ °ø°ÝÀÚ ½Äº°¿¡ µµ¿ò
ÆÄÀ̾î¾ÆÀÌ, »çÀ̹ö °ø°Ý ¾ç»ó¿¡ ´ëÇÑ ÀÏ°ö °¡Áö Ư¼º Á¦½Ã
[º¸¾È´º½º ±èÅÂÇü] Áö´ÉÇü »çÀ̹ö °ø°Ý ¹æ¾î ±â¼ú Àü¹® ¾÷üÀÎ ÆÄÀ̾î¾ÆÀÌ(Áö»çÀå Àü¼öÈ«, www.fireeye.com)´Â ±ÝÀÏ »çÀ̹ö °ø°Ý Ư¼º¿¡ ´ëÇÑ »ó¼¼ Á¤º¸¸¦ Á¦°øÇÏ´Â ¡®µðÁöÅлóÀÇ 7°¡Áö ´Ü¼:»çÀ̹ö °ø°ÝÀÇ ¹èÈÄ´Â ´©±¸Àΰ¡(Digital Bread Crumbs: Seven Clues To Identifying Who¡¯s Behind Advanced Cyber Attacks)¡¯ º¸°í¼¸¦ ¹ßÇ¥Çß´Ù°í ¹àÇû´Ù.
¡ã ¸Ö¿þ¾î ¸ÞŸµ¥ÀÌÅÍ(Malware Metadata) ºÐ¼®À» ÅëÇØ Æ¯Á¤ °ø°Ý¿¡ ´ëÇÑ ¾ð¾î,À§Ä¡ ÃßÀûÀÌ °¡´ÉÇÏ´Ù.
À̹ø º¸°í¼´Â ÇöÀç °¡Àå ¸¸¿¬ÇØ ÀÖ´Â »çÀ̹ö °ø°Ý Ư¼º¿¡ ´ëÇÑ Á¤º¸¿Í ºÐ¼®À» Á¦°øÇÔÀ¸·Î½á, º¸¾È Àü¹®°¡°¡ °ø°ÝÀÇ ¾ç»óÀ» ½Äº°ÇÏ°í, ¹Ì·¡ÀÇ ÁøÈµÈ »çÀ̹ö °ø°ÝÀ¸·ÎºÎÅÍ Á¶Á÷À» º¸È£ÇÒ ¼ö ÀÖ´Â º¸´Ù È¿°úÀûÀÎ ¹æ¾îÃ¥À» ¸¶·ÃÇÒ ¼ö ÀÖµµ·Ï µµ¿òÀ» ÁØ´Ù.
¶ÇÇÑ º» º¸°í¼¸¦ ÅëÇØ ¡®Comment Crew¡¯·Î ¾Ë·ÁÁø Áß±¹ÀÇ ±º»ç Áý´Ü¿¡ ÀÇÇØ °í¿ëµÈ ÇØÅ· Áý´ÜÀÇ °ø°Ý Àü¼úÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÀÌ Á¶Á÷Àº ÀÌÀü¿¡ ¹Ì±¹ Á¤ºÎ¸¦ ´ë»óÀ¸·Î ÁøÇàµÇ¾ú´ø Ç¥Àû °ø°Ý°úµµ °ü·ÃµÈ´Ù.
ÆÄÀ̾î¾ÆÀÌ ÄÚ¸®¾ÆÀÇ ±èÇöÁØ ±â¼úÀÌ»ç´Â ¡°¿À´Ã³¯ÀÇ »çÀ̹ö À§Çù µ¿Çâ¿¡¼ ÀûÀ» ½Äº°ÇÏ´Â °ÍÀº ¸ðµç ¹æ¾î Àü·«¿¡ ÀÖ¾î ¸Å¿ì Áß¿äÇÑ ºÎºÐ¡±À̶ó¸ç ¡°ÁøÈµÈ °ø°Ý¿¡ ÀÖ¾î ´©°¡ °ø°ÝÀ» °¨ÇàÇÏ¸ç ±×·¯ÇÑ °ø°ÝÀÌ ¾î¶»°Ô ÀÛ¿ëÇÏ´ÂÁö, ¶ÇÇÑ °ø°Ý ÀÌÈÄ ±×µéÀÌ ¹«¾ùÀ» ÇÏ´ÂÁö´Â Á¶Á÷ÀÇ µ¥ÀÌÅÍ¿Í ÁöÀûÀç»ê±ÇÀ» º¸È£Çϴµ¥ ÀÖ¾î ¸Å¿ì Áß¿äÇÏ´Ù¡±¶ó°í ¹àÇû´Ù.
À̹ø ¡®µðÁöÅлóÀÇ 7°¡Áö ´Ü¼: »çÀ̹ö °ø°ÝÀÇ ¹èÈÄ´Â ´©±¸Àΰ¡¡¯ º¸°í¼´Â °ø°ÝÀÚ°¡ ¿Â¶óÀÎ »ó¿¡ ³²±ä ÈçÀûÀÎ °ø°ÝÀÇ ÆÐÅÏ, Çൿ ¹× ±â¼ú¿¡ ´ëÇØ ½Äº°Çϱâ À§ÇØ ÁøÈµÈ °ø°ÝÀ» ºÐ¼®ÇÑ´Ù.
¶ÇÇÑ °ø°Ý Çൿ, ¸Ö¿þ¾î ¸ÞŸµ¥ÀÌÅÍ, ¶Ç´Â Å°º¸µå ·¹À̾ƿô°ú °°Àº ÀÏ°ö °¡ÁöÀÇ Æ¯Á¤ °ø°Ý Ư¼º¿¡ ´ëÇØ ¼³¸íÇÔÀ¸·Î½á ƯÁ¤ ±¹°¡³ª Áö¿ª¿¡ ±âÀεǴ ƯÁ¤ °ø°Ý¿¡ ÀÖ¾î »ó´çÇÑ µµ¿òÀ» ÁÙ ¼ö ÀÖ´Ù.
¿¹¸¦ µé¾î, º¸°í¼´Â ¸Ö¿þ¾î ¸ÞŸµ¥ÀÌÅÍ¿¡ ´ëÇÑ ÃÖ½ÅÀÇ ºÐ¼®À» Á¦°øÇϴµ¥, ÀÌ´Â ÀÌÀü¿¡´Â ¾Ë·ÁÁöÁö ¾Ê¾Ò´ø Áß±¹ÀÇ ¡®Comment Crew¡¯¿¡ ÀÇÇØ »ç¿ëµÈ °ø°Ý Àü¼úÀ» È®ÀÎÇϴµ¥ µµ¿òÀ» ÁØ´Ù. ¡®Comment Crew¡¯´Â ¿ÃÇØ ÃÊ ¹Ì±¹ Á¤ºÎ¸¦ ´ë»óÀ¸·Î ¹ß»ýÇÑ ÀÏ·ÃÀÇ °ø°Ýµé°ú ¿¬°üµÇ´Â Áß±¹ÀÇ ¾Ç¸í ³ôÀº ÇØÄ¿ ±×·ìÀÌ´Ù.
À̹ø º¸°í¼´Â ÆÄÀ̾î¾ÆÀÌ°¡ Àü ¼¼°è ¾à 1,500 ¿©°³ÀÇ ±â¾÷À¸·ÎºÎÅÍ ÃëÇÕÇÑ »ùÇÃÀ» ±â¹ÝÀ¸·Î Çϸç, ¾Æ·¡¿Í °°Àº ¸Ö¿þ¾î °ø°Ý°ú ±×µéÀÌ ÁÖ·Î »çÀ̹ö °ø°ÝÀÚ¿¡ ´ëÇØ ¾î¶°ÇÑ ´Ü¼¸¦ ³²±â´ÂÁö¿¡ ´ëÇØ º¸¿©ÁØ´Ù. ´ÙÀ½Àº º¸°í¼ÀÇ ÇÙ½É ³»¿ëÀÌ´Ù.
¡â Å°º¸µå ·¹À̾ƿô(Keyboard Layout): °ø°ÝÀÚÀÇ Å°º¸µå ¼±ÅÃÀº ¾ð¾î¿Í Áö¿ª¿¡ µû¶ó ´Þ¶óÁö´Âµ¥, ÀÌ´Â ÇÇ½Ì ½Ãµµ ¼Ó¿¡ ¼û°ÜÁ® ÀÖ´Ù.
¡â ¸Ö¿þ¾î ¸ÞŸµ¥ÀÌÅÍ(Malware Metadata): ¸Ö¿þ¾î ¼Ò½º ÄÚµå´Â ±â¼úÀûÀÎ ¼¼ºÎ »çÇ×À» Æ÷ÇÔÇϸç ÀÌ´Â °ø°ÝÀÚÀÇ ¾ð¾î, À§Ä¡¸¦ ÃßÃøÇÒ ¼ö ÀÖ°Ô Çϸç, ´Ù¸¥ Ä·ÆäÀεé°ú ¿¬°üµÈ´Ù.
¡â ³»ÀåµÈ ±Û²Ã(Embedded Fonts): ÇÇ½Ì ¸ÞÀÏ¿¡ »ç¿ëµÇ´Â ±Û²ÃÀº °ø°ÝÀÇ ±Ù¿øÀ» ÀǹÌÇÑ´Ù. ÀÌ´Â ÀϹÝÀûÀ¸·Î ±Û²ÃÀÌ °ø°ÝÀÚÀÇ ¸ð±¹¾î·Î »ç¿ëµÇÁö ¾Ê´Â °æ¿ì¿¡µµ ¸¶Âù°¡ÁöÀÌ´Ù.
¡â DNSµî·Ï(DNS Registration): °ø°Ý¿¡ »ç¿ëµÈ µµ¸ÞÀÎÀº °ø°ÝÀÚÀÇ À§Ä¡¸¦ ÆľÇÇÏ°Ô ÇØÁØ´Ù. Áߺ¹ µî·Ï Á¤º¸´Â ´Ù¾çÇÑ µµ¸ÞÀÎÀ» ÇÑ ¸íÀÇ ÀϹÝÀûÀÎ °ø°ÝÀÚ¿Í ¿¬°ü½Ãų ¼ö ÀÖ´Ù.
¡â ¾ð¾î(Language): ¸Ö¿þ¾î¿¡ Æ÷ÇÔµÈ ¾ð¾îµéÀº Á¾Á¾ °ø°ÝÀÚÀÇ ¸ð±¹À» ³ªÅ¸³½´Ù. ÇÇ½Ì À̸ÞÀÏ¿¡¼º¸¿©Áö´Â ÀϹÝÀûÀÎ ¾ð¾î ½Ç¼ö´Â ¶§·Î °ø°ÝÀÚÀÇ ¸ð±¹¾î¸¦ ¾Ë¾Æ³»±â À§ÇØ ¹Ý´ë·Î ¿£Áö¸®¾î¸µ µÉ ¼ö ÀÖ´Ù.
¡â ¿ø°Ý °ü¸® Åø ±¸¼º(Remote Administration Tool Configuration): ÀÚÁÖ »ç¿ëµÇ´Â ¸Ö¿þ¾î¸¦ Á¦ÀÛÇÏ´Â ÅøÀº ÀÏÁ¾ÀÇ ±¸¼º ¿É¼ÇÀ» Æ÷ÇÔÇÑ´Ù. ÀÌ·¯ÇÑ ¿É¼ÇµéÀº Á¾Á¾ ÅøÀ» »ç¿ëÇÏ´Â °ø°ÝÀڵ鿡°Ô ¶Ñ·ÇÇÏ°Ô µå·¯³ª¸ç, À̸¦ ÅëÇØ ¿¬±¸ÆÀÀº °¢±â ´Ù¸¥ °ø°ÝÀ» ÀϹÝÀûÀÎ À§Çù ÇൿÀ¸·Î ¹À» ¼ö ÀÖ´Ù.
¡â Çൿ(Behavior): ¹æ¹ý ¹× Ÿ±ê°ú °°Àº Çൿ ÆÐÅÏÀº °ø°ÝÀÚÀÇ °ø°Ý ¹æ½Ä°ú µ¿±â¸¦ ³ªÅ¸³½´Ù.
ÆÄÀ̾î¾ÆÀÌ ÄÚ¸®¾ÆÀÇ ±èÇöÁØ ±â¼úÀÌ»ç´Â ¡°°ø°ÝÀÚµéÀº ±×µéÀÇ ¸Ö¿þ¾î ÄÚµå, ÇÇ½Ì À̸ÞÀÏ, C&C¼¹ö, ±×¸®°í ½ÉÁö¾î ±âº»ÀûÀÎ ÇàÀ§¿¡¼µµ ±×µéÀ» ³ëÃâ ½Ãų ¼ö ÀÖ´Ù¡±¶ó¸ç, ¡°Áö¹®À̳ª DNA, ȤÀº ¼¶À¯ Á¶Á÷ ºÐ¼®ÀÌ ¹üÁË ºÐ¼®¿¡¼ ¸Å¿ì Áß¿äÇÑ ¿ä¼Ò°¡ µÇ°í ÀÖ´Â °Í°ú ¸¶Âù°¡Áö·Î, ¸¸¾à ¿¬±¸¿øÀÌ Ã£°íÀÚ ÇÏ´Â ¹Ù¸¦ ¾Ë°í ÀÖ´Â °æ¿ì »çÀ̹ö °ø°ÝÀÇ ÈçÀûÀ» ¿¬°áÇϸé Á¤±³ÇÑ À§ÇùÀ» ÇàÇÑ °ø°ÝÀÚ¸¦ ½Äº°Çϴµ¥ µµ¿òÀ» ÁÙ ¼ö ÀÖ´Ù¡±¶ó°í ¸»Çß´Ù.
À̹ø º¸°í¼¿¡ Á¦½ÃµÈ ¹æ¹ýÀ» ±¸ÇöÇÏ¸é º¸¾È Àü¹®°¡´Â ÀÌÀüÀÇ À§Çù ÇàÀ§ÀÚ¸¦ º¸´Ù ºü¸£°Ô ½Äº° ÇÒ ¼ö ÀÖÀ¸¸ç, ÁøÈµÈ »çÀ̹ö °ø°ÝÀ¸·ÎºÎÅÍ Á¶Á÷À» ´õ¿í ¾ÈÀüÇÏ°Ô º¸È£ÇÒ ¼ö ÀÖ´Ù.
[±èÅÂÇü ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>