세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
평창올림픽 사이버공격 추적! 시스코 탈로스의 폴 하스까니에
  |  입력 : 2018-03-02 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘그룹 123’ 공격 캠페인, ‘올림픽 디스트로이어’ 등 추적해
탈로스의 보안 연구 현황 및 한국의 위협 지형에 대한 전망


[보안뉴스 오다인 기자] 그리스 신화에는 탈로스(Talos)라는 거인이 산다. 청동으로 만들어진 이 거인은 제우스(Zeus)가 크레타섬을 떠나면서 연인 에우로파(Europa)에게 선물했다는 설, 대장장이 헤파이스토스(Hephaestus)가 제우스와 에우로파의 아들이자 크레타섬의 첫 번째 왕인 미노스(Minos)에게 선물했다는 설 등으로 전해진다.

[이미지=iclickart]


크레타섬을 수호하는 탈로스는 매일 세 번씩 해안을 돌면서 에우로파와 섬을 외부의 침입자로부터 보호했다. 공격자가 나타나면 바위를 던져 진입을 막거나 자신의 몸을 불에 달군 뒤 공격자를 꽉 껴안아 없앴다. 크레타 방언으로 탈로스는 해(Sun)를 뜻하는데, 크레타인을 지켜주는 신의 선물인 탈로스가 크레타인에게는 빛과 같은 존재로 여겨지지 않았을까 짐작해본다.

탈로스는 네트워크 및 보안 전문 기업 시스코시스템즈(Cisco Systems, 이하 시스코)가 위협 인텔리전스 그룹을 출범시키면서 디지털 세계의 수호자로 현대에 다시 등장하게 됐다. 시스코 탈로스는 전 세계 약 300명의 보안 전문가, 데이터 과학자, 화이트햇 해커로 구성된 인텔리전스 그룹이다. 이들은 연중무휴로 일하면서 하루에 약 200억 건의 공격을 막아내고 있는 것으로 알려져 있다.

이러한 탈로스 소속 연구원은 보안의 특성상 만나기 어렵지만 지난달 말 방한 중이던 폴 하스까니에(Paul Rascagneres) 보안 연구원을 본지가 만나 인터뷰했다. 하스까니에 연구원은 프랑스에 거주하고 있으며 2016년 시스코 탈로스에 합류, 보안을 연구한 지는 올해로 8년째다. 그는 탈로스에서 새로운 위협을 식별하고 연구결과를 대외에 발표하는 역할을 맡고 있다.

▲폴 하스까니에(Paul Rascagneres) 시스코 탈로스 보안 연구원 [사진=시스코]


하스까니에 연구원의 최근 결과물로는 △남한을 겨냥한 그룹 123(Group 123)의 공격 캠페인 △그룹 123의 플래시 제로데이(CVE-2018-4878) 공격 △평창 동계올림픽을 겨냥한 올림픽 디스트로이어(Olympic Destroyer) 공격 등이 있다. 그와의 인터뷰는 서울 강남구 아셈타워에 위치한 시스코 코리아 회의실에서 지난 2월 27일 진행됐다.

보안뉴스: 시스코 탈로스 보안 연구원들은 어떤 방식으로 일합니까? 특정 공격에 대한 연구를 지시받는 것인지, 연구원 각자가 자유롭게 정해서 연구하는 것인지 궁금합니다.
폴 하스까니에: 연구 주제와 시간에 있어 유연한 편입니다. 탈로스 연구원들은 전 세계에 흩어져 있기 때문에 각자 연구하는 시간이 애초에 다르기도 하고요. 연구주제의 경우, 공격 규모 등에 따라 지시를 받을 때도 있지만 대개 자신이 하고 싶은 것을 연구합니다. 저는 최근에 한국에서 발생하는 공격 캠페인에 주목하고 있습니다. 한국에는 공격 캠페인이 많이 일어나고 있으며, 기술적으로 흥미로운 부분이 많습니다.

보안뉴스: 시스코 탈로스에는 약 300명의 보안 전문가가 일하고 있는 것으로 압니다. 구체적으로 어떤 분과들로 나뉘어 일합니까?
폴 하스까니에: 아주 다양한 분과들이 있습니다. 저처럼 멀웨어 연구를 하는 사람들이 모인 분과를 비롯해 △멀웨어 탐지 분과 △웹 평판(Web Reputation) 분과 △스팸 분과 △공격 그룹 추적 분과 △취약점 분과 △지정학 분과 등 정말 다양합니다. 예컨대 한국의 공격 캠페인에 대해 연구를 한다고 하면, 한국어뿐만 아니라 한국의 지정학적 상황에 대해 알려줄 수 있는 전문가가 지정학 분과에 구성돼 있고 멀웨어 연구자가 자문을 구할 수 있습니다. 저는 한국의 공격 캠페인을 연구하기 전까지 ‘통일부’라는 정부부처가 존재하는지도 몰랐지만 탈로스 소속 지정학 전문가의 지원을 받아 파악할 수 있었습니다.

보안뉴스: 탈로스 연구원들이 전 세계에 흩어져 있는데, 어떤 수단으로 협업합니까?
폴 하스까니에: 전화, 이메일, 컨퍼런스 콜 등 모든 수단을 동원해서 협업하고 있습니다.

보안뉴스: 공격 최초 탐지 시점부터 연구결과 발표까지 보통 시간이 얼마나 소요됩니까?
폴 하스까니에: 사안마다 매우 다릅니다. 평창 동계올림픽을 겨냥한 올림픽 디스트로이어의 경우에는 최초 탐지부터 탈로스 블로그 공표까지 약 7시간이 걸렸습니다. 연구결과는 경우에 따라 발표하지 않을 때도 있습니다. 탈로스의 주된 목표는 멀웨어 연구이지 대외 홍보가 아니기 때문입니다. 만에 하나 연구결과로 인해 선량한 사람들(good people)에게 더 큰 피해가 발생할 가능성이 있다면 공표하지 않습니다.

보안뉴스: 사이버 보안 인력의 업무 과다 문제는 악명이 높은데요. 탈로스는 어떻습니까?
폴 하스까니에: 연구 시간이 유연한 편이고, 세계 각지에 연구원들이 흩어져 있다 보니 제가 하던 것을 다른 시간대의 연구원이 이어서 지속하기도 합니다. 제가 잘 시간에 그들은 이제 일할 시간이 되는 것이죠. 탈로스가 연중무휴로 매일 수백억 건의 공격을 막아낼 수 있는 건 이처럼 시스템이 잘 구축돼 있기 때문입니다.

보안뉴스: 최근 추적하고 있는 공격 그룹이 있습니까? 있다면, 얼마나 근접하게 파악했습니까?
폴 하스까니에: 그룹 123과 중동의 공격 그룹을 추적하고 있습니다. 정부지원 해킹그룹인지는 확실하지 않습니다. 멀웨어 연구는 기술적인 영역에만 초점을 맞추기 때문에 공격자가 어디에 사는 누구인지까지 파악하진 않습니다. 하지만 중동지역 해킹그룹의 경우, 주로 일요일 아침에 움직인다는 사실을 파악했는데 이들을 추적하는 저로선 매우 피곤한 일입니다(웃음).

보안뉴스: 공격 그룹과 멀웨어의 이름은 보안 연구원이 마음대로 붙이는 것입니까? 동일한 공격 그룹에도 다른 이름이 여러 가지 붙어서 혼란스러운데요.
폴 하스까니에: 보안 연구원 마음대로 붙입니다. 공격 그룹의 경우, 시스코 탈로스는 ‘그룹(Group)’ 뒤에 숫자를 붙여서 명명합니다. 보안업체별로 명명하는 방식이 다르기 때문에 보안 진영 전체로 봤을 때는 다소 혼란스럽기도 합니다.

보안뉴스: 일할 때 원칙이 있습니까? 또는 탈로스의 보안 연구 수칙 같은 게 있습니까?
폴 하스까니에: 특별한 원칙은 없습니다. 다만, 가끔씩 위키피디아에 들어가서 각종 명절들을 확인합니다. 쭉 훑어보면서 ‘이날이 바쁘겠구나’라고 추측해 봅니다. 물론 다 맞는 건 아닙니다. 보안 연구는 상황에 따라 매번 다를 수밖에 없습니다.

보안뉴스: 어떤 경위로 보안 연구를 시작하게 됐습니까?
폴 하스까니에: 예전에는 IT 회사에서 일했습니다. 그러다 사이버 보안 쪽으로 자리를 옮겼는데, 문제를 이해하고 풀어야 하는 것이 좋았습니다. 위협은 계속해서 진화하고 또 복잡해지고 있습니다. 멀웨어들이 서로 비슷해보여도 다 다릅니다. 보안은 지루할 틈이 없고, 여전히 저는 제 일이 좋습니다.

보안뉴스: 보안 연구를 무척 좋아하는 마음이 느껴집니다. 그래도 힘든 점을 하나 꼽는다면 어떤 게 있을까요?
폴 하스까니에: ‘양(quantity)’적인 문제입니다. 매일 수백만 건의 새로운 멀웨어가 나타납니다. 더군다나 최근에는 모든 멀웨어가 암호화되고 있습니다. 기본적으로 연구해야 할 양 자체가 압도적으로 늘어나다 보니 어렵게 다가오기도 합니다.

보안뉴스: 탈로스의 데이터베이스가 막강하다는 사실은 언제 느낍니까?
폴 하스까니에: 데이터베이스도 중요하지만 데이터베이스 하나만으로는 아무것도 가능하지 않습니다. 탈로스가 ‘인텔리전스 그룹’이라고 불리는 건 데이터베이스뿐만이 아니라 이를 바탕으로 행동할 수 있는 요소(actionable things)들이 구축돼 있기 때문입니다. 데이터베이스를 분석하고 해석할 수 있는 능력 및 인력이 뒷받침이 된다는 사실이 탈로스의 가장 큰 강점입니다.

보안뉴스: 보안 연구원을 꿈꾸는 학생들에게 어떤 말을 해주고 싶습니까?
폴 하스까니에: 보안 연구원으로 일하려면 호기심(Curiosity)이 가장 중요합니다. 좋은 호기심을 많이 가져야 합니다. 어떤 것이 어떻게 작동하는지 이해하려는 마음을 갖는 것이 그 무엇보다 중요한 덕목입니다.

보안뉴스: 한국의 독자들에게는 어떤 말을 해주고 싶습니까?
폴 하스까니에: 한국의 위협 지형은 매우 흥미롭습니다. 공격 캠페인이 많이 발생하고 있는데 이 같은 공격의 정도가 앞으로 줄어들 것 같지 않습니다. 계속 늘어날 것으로 예측하고 준비해야 합니다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)