세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
사이버 범죄의 최신 트렌드는 ‘사이버전 닮아가기’
  |  입력 : 2017-03-20 16:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
은밀해지고 고급화되는 멀웨어 공격, 사이버전과 구분 힘들어
그만큼 방어력 높아지기도... 범죄자들로서는 다른 방법 찾는 것


[보안뉴스 문가용 기자] 지난 주, 러시아의 연방보안국(이하 FSB) 요원들이 작년에 드러난 야후 해킹 사건의 배후에 있었다는 사실이 밝혀졌다. 이로써 민간 기업들이 대처해야 하는 위협 요소에 다크웹의 사이버 범죄자들뿐만이 아니라 든든한 자금력을 바탕으로 고급 기술을 조직적으로 활용하는 사이버전 부대들까지 포함된다는 것이 공식화되었다.

▲ 날 찾기가 쉽지 않을거야...


또한 러시아의 사이버전 부대가 지하의 사이버 범죄자와 매우 가까운 사이라는 것도 나타났는데, 보안 전문가들은 오히려 “통상적으로 사이버전 부대에 비해 수준이 낮다고 여겨졌던 지하 세계의 사이버 범죄자들의 수준이 매우 높아진 것을 나타낸다”고 분석한다. 보안 전문 연구기관인 맨디언트(Mandiant)는 “두 그룹의 수준 격차가 점점 좁혀지고 있다”고 정리한다.

맨디언트는 발표하는 ‘M 트렌드 연간 보고서(M-Trends Report)’를 통해 “사이버 범죄단들이 국가의 후원을 받는 사이버전 부대들처럼 은밀하고 조직적으로 움직이기 시작했다”며 “자체 개발한 백도어나 훨씬 탄탄한 C&C 채널, DNS 익스플로잇에 심지어 안티포렌식 기능까지, 사이버전 부대 전용처럼 여겨졌던 방법과 툴들이 사이버 범죄자들 사이에서도 흔히 발견되고 있다”고 설명한 바 있다.

즉, 금전적인 이득을 취하려고 하는 사이버 범죄자들을 은행 강도의 ‘사이버 버전’으로 단순 치부할 것이 아니라는 뜻이다. “얼른 치고 빠지는 유형의 범죄가 줄어들 거라고 예측할 수 있습니다. 사이버전의 APT 공격처럼, 범죄자들도 최대한 몰래 들어와 최대한 오래 머물러 최대한 많은 돈과 정보를 훔쳐내는 게 관건이 되었다는 것입니다.”

M 트렌드 연간 보고서에 따르면 “사이버 범죄자들이 점점 더 조직화 되고, 심지어 기업화 되는 면모를 보이더니 이제는 국가 정부의 조직력까지 흉내 내고 있는 것이다.” 맨디언트의 부회장인 찰스 카마칼(Charles Carmakal)은 “이는 방어를 해내야 하는 입장에서는 매우 안 좋은 소식”이라고 말한다.

“야후에서의 정보유출 사건은 그 규모에서도 놀라움을 금치 못할 사건이지만, 그 무엇보다 러시아 정부가 연루되어 있다는 것에서 심각한 의미를 발견할 수 있습니다. 이제부터 민간 기업 하나하나가 스스로를 방어하기 어렵다는 뜻이 되기 때문입니다. 실제 야후도 손을 못 썼으니 해당 공격을 수년이 지난 후에야 발견했지요.”

사이버 범죄를 전문으로 하는 미국 검사인 에드 맥앤드류(Ed McAndrew)는 “이제 스트립트 키디(아마추어 해커)에서부터 어느 정도 조직력을 갖춘 전문 사이버 범죄단은 물론 국가 정부조직과 연관되어 있는 고차원 해커 부대까지도 상대할 생각을 해야 한다”고 경고했다. “사이버 범죄자와 해커부대의 경계선이 흐려질수록 ‘긴 잠입 기간’에 대한 중요도가 더 높아지고 있다”고 카마칼은 보충 설명하기도 한다.

이 와중에 맨디언트의 연구원들은 ‘금융 조직을 노리는 사이버 갱단’ 사이에서 일어나고 있는 변화가 한 가지 더 있다는 사실 또한 발견했다. 윈도우 운영 체제의 볼륨 부트 레코드(Volume Boot Record)를 조작하는 공격 수법이 점점 더 많이 활용된다는 것이다. “이 또한 침투 기간을 오랫동안 늘리기 위한 노력의 일환이라고 볼 수 있습니다.”

맨디언트의 설명에 의하면 “범죄자들은 VBR을 통하여 백도어를 로딩해 탐지 툴을 우회한다”고 한다. “즉 멀웨어가 OS보다 먼저 로딩이 되는 겁니다. 그러니 어지간해서는 잡힐 수가 없죠. 이런 VBR 어뷰징 공격은 2016년에 점차 자리 잡기 시작한 것으로, 지속적인 공격을 감행하는 데에 최적의 방법으로서 각광받고 있습니다. 여기에다가 포렌식으로 잡아내기도 무척 어렵다는 강점이 있습니다.”

카마칼은 “VBR 어뷰징 기술을 처음 발견했을 때 팀 전체가 경악했다”고 털어놓는다. “처음엔 우리가 뭘 발견했는지 이해하기도 힘들었습니다. 그런 식으로 뭔가를 공격하고 감염시킬 수 있다는 것 자체도 몰랐고요.” 카마칼은 “확실히 VBR 멀웨어를 만든다는 건 쉽지 않은 일”이라며 “이런 걸 사이버 범죄자들이 사용하기 시작했다는 것이 이미 사이버전 부대와의 수준 차이가 크게 줄었다는 걸 방증한다”고 설명한다.

재미있는 건 일반 기업 및 조직들의 ‘공격 사실 파악 시간’이 크게 줄어들었다는 것이다. 맨디언트의 고객사들을 기준으로 ‘공격이 발생했다’는 걸 파악하는 데 걸리는 평균 시간이 2016년엔 99시간이었다고 한다. 2015년의 평균은 146시간에 비해 크게 줄어든 것. “조직들의 방어력이 점점 좋아지고 있었기에, 범죄자들이 이런 식으로 진화하고 있다고 봐도 될 정도입니다.”

여기에 파괴적인 멀웨어들도 급증하고 있다는 것도 주목해야 한다. 하드디스크를 통째로 삭제하는 기능을 가진 멀웨어가 바로 그것들이다. “삭제형 멀웨어 외에, 데이터를 유출시키겠다는 협박을 하는 범죄자들도 존재하죠. 숨어드는 멀웨어 공격의 다른 한 편 일부러 소란을 떠는 멀웨어 공격자들도 있다는 겁니다. 사이버 공격이 점점 극단적으로 치닫고 있다는 것으로 풀이됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)