Home > 전체기사 > 외신
[주말판] 해킹 그룹의 기묘한 이름들, 누가 누가 붙이나
  |  입력 : 2019-02-09 13:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
곰, 판다, 연꽃, 고양이, 지옥...별명과 같은 이름들에 유래 있을까
이름은 추적 용이하게 만들어주는 장치...마케팅 요인 끼어들면 혼란 가중돼


[보안뉴스 문가용 기자] 중국의 사이버전 단체들에는 판다곰(panda)이라는 이름이 붙는다. 이란의 그것에는 새끼고양이(kitten)이라고 하고, 러시아의 조직들은 그냥 ‘곰’이라고 한다. 어떤 공격 단체는 ‘호텔’이라고 불리고, 누구는 ‘문어’라고도 불리며, ‘연꽃’이라는 별명이 붙기도 한다.

[이미지 = iclickart]


‘팬시 베어’는 ‘환상의 곰’, ‘노마딕 옥토퍼스’는 ‘떠돌이 문어’, ‘오션 로터스’는 ‘바다 연꽃’, ‘다크 호텔’은 ‘어두운 호텔’인데, 그냥 보안 전문가들끼리 재미로 붙인 건 아닐까? 아니면 일반인들로서는 알 수 없는 암호 같은 것일까? 결론부터 말하자면 이런 이름들은 우리가 학교에서 친구들에게 만들어주던 별명과 같은 것들이다. 즉, 어느 정도는 그들의 중요한 특성이 반영되어 있기도 하고, 어느 정도는 재미라는 요소가 들어있기도 하다는 것이다.

일반적으로 사이버 공격의 배후에 있는 단체를 정확히 파악해낸다는 건 굉장히 어려운 일이다. 한 공격 단체의 해킹, 정찰, 멀웨어 공격 행위에 대해 특정 국가의 정부 기관이 자금을 대주거나 적극 개입을 하고 있다는 의심을 할 수는 있고, 여러 전문가가 독립적으로 추적해 같은 결론에 다다를 수 있다. 하지만 사이버 공격에서의 ‘의혹’은 대부분 확실한 증거 없이, 정황상 타당성이나 전문가들의 감을 기반으로 한다.

게다가 오탐이라는 것도 사이버 보안에서는 자주 발생하기 때문에, 확실한 증거가 없는 의혹은 말 그대로 의혹으로 끝난다. 게다가 요즘 공격자들은 이런 점을 노리고 일부러 다른 조직의 흔적을 남기거나, 역으로 자신들의 흔적을 노골적으로 남겨 ‘의혹’을 뒤엉키게 만든다. 그래서 사이버 보안 세계에서 특정 국가를 정확하게 범인으로 지목하는 건 위험한 일이고, 따라서 국력이 받쳐주는 나라들만 이런 목소리를 낸다.

즉 사이버 공격의 범인을 지목하는 건 국가 간 불화를 일으킬 수 있는 위험천만한 일이라는 것이다. 그래서 보안 전문가들은 FBI의 프로파일링 기법을 사용한다. 정체를 알 수 없는 연쇄 살인마를 쫓는다고 했을 때, FBI의 전문가들은 이 살인마의 작업 방식을 파악하고 이해함으로써 인물의 윤곽선을 그려나간다. 그런 식으로 ‘보스턴 교살자(Boston Strangler)’나 ‘조디악 킬러(Zodiac Killer)’를 추적했다.

보안 전문가들도 공격자이 정체를 파악하기 위해 전형적인 공격 대상, 전략, 주로 사용하는 멀웨어나 기술 등을 먼저 분석한다. 그러다보면 차츰 윤곽선이 나오기 시작한다. 공격자들은 세계 여기저기에서 날뛰는 게 보통이기 때문에 추적이 쉽지만은 않은데, 그럴 때 기존 연구들을 통해 나온 윤곽선을 적용하거나 참고하면 추적 행위가 보다 쉬워진다. 이 윤곽선에 붙는 것이 바로 위에서 언급한 별명과 같은 이름들이다.

그 많은 이름들은 누가 다 붙였을까?
그런데 여기에 문제가 하나 발생한다. 한 공격 단체에 이름이 덕지덕지 붙을 때가 있다는 것이다. 그 이유는 보안 업체들마다 이름을 붙이는 제각각의 독특한 방법들을 가지고 있기 때문이다. 여기에는 특별한 표준이 정립되지 않은 상태고, 그러기에도 힘든 상황이다. 따라서 너무 많은 이름 때문에 오히려 추적에 방해가 되는 상태가 당분간은 지속될 전망이다.

예를 들어 보안 업체 크라우드스트라이크(CrowdStrike)나 사이버엑스(CyberX) 등은 지역을 대표하는 동물들의 이름을 해킹 그룹에 붙이는 경향이 있다. 그래서 중국과 관련된 해커들에는 ‘판다’라는 이름표를 붙이고 이란에는 ‘고양이’나 ‘고양이새끼’라는 단어를 덧댄다. 베트남 해커들에는 ‘연꽃’을, 러시아 해커들에는 ‘곰’이라는 별명을 부여한다.

반대로 파이어아이(FireEye)와 같은 경우는 좀 더 깔끔하고 수학적인 방식을 사용한다. APT33과 같이, ‘APT’라는 공격 단체의 유형 뒤에 ‘숫자’를 붙여나가는 것이다. 여기서 숫자는 파이어아이 내부에서 정한 국가 코드라고 한다. 파이어아이의 수석 분석가인 벤 리드(Ben Read)는 해외 매체와의 인터뷰를 통해 “공격 단체에 국가 코드인 숫자를 붙인다는 건 매우 위험한 일”이라며 “내부적으로 상당한 자신감이 쌓이기 전까지 함부로 하지 않는다”고 설명했다.

동물의 이름을 붙이거나 하는 업체들은 ‘좀 더 재미있게’, ‘개인적인 이유로’ 그렇게 하는 경우가 많은 것으로 알려져 있다. 팬시 베어(Fancy Bear)라는 러시아의 APT 그룹의 경우, 크라우드스트라이크의 드미트리 알페로비치(Dmitri Alperovitch)가 붙인 것으로 알려져 있는데 그 이유는 대단히 ‘개인적’이다. 팬시 베어는 소파시(Sofacy)라는 멀웨어를 사용하는데, 이를 보고 알페로비치 머릿속에 호주 가수 이기 아잘레아(Iggy Azalea)의 노래 ‘팬시’가 생각난 것이다. 여기에 러시아를 상징하는 동물인 곰을 붙여 팬시 베어가 완성됐다. 파이어아이는 같은 그룹에 APT28이라는 이름을 붙이고 있다.

그 외에도 팬시 베어는 폰 스톰(Pawn Storm), 소파시 그룹(Sofacy Group), 세드닛(Sednit), 스트론티움(STRONTIUM)이라는 이름으로도 불리고 있다. 이렇게 이름이 많아지는 데에는 ‘시장 선점효과’와 ‘마케팅’이라는 요소도 한 몫 차지한다. 한 보안 업체가 대중들의 입에 딱 붙는 이름을 짓는 데 성공했다면, 다른 경쟁 업체들도 그 이름을 인용해 쓸 수밖에 없게 되는데, 이런 현상을 노리는 것이다.

또한 업체들마다 각자의 추적 방식과 데이터를 고유하게 유지하기 때문에 이름이 다양하게 붙을 수도 있다. 보안 업체 넷스카웃(NETSCOUT)의 수석 보안 전문가인 질 솝코(Jill Sopko)는 해외 매체와의 인터뷰에서 다음과 같이 설명한 바 있다. “어떤 업체는 공격으로 인한 효과에 집중해서 추적합니다. 서버나 라우터에서 발생하는 문제를 잘 잡아내는 기업이 있는가 하면, 저희처럼 네트워크 트래픽이라는 측면에서 사건을 들여다보고 싶어 하는 곳도 있죠. 그래서 공격자의 다른 측면이 보이고, 다른 이름이 붙기도 합니다.”

하지만 APT 그룹을 추적하는 방식이 무엇이고, 이름을 붙이는 원리가 어찌됐든, 하나만을 고수하는 건 잘못된 결과를 낳을 수 있다고 솝코는 경고한다. “예를 들어 소파시라는 멀웨어는 이제 굉장히 널리 퍼진 멀웨어가 됐습니다. 거의 범죄자들 사이에서 오픈소스 수준에 이르렀죠. 그래서 이제 어떤 공격에서 소파시 멀웨어가 발견되었다고 해서 팬시 베어나 APT28을 곧바로 떠올리는 건 잘못될 가능성이 높다는 겁니다. 그래서 업체들 간 추적 성과를 공유하고 대조해볼 필요가 있습니다.”

파이어아이의 리드도 이 점에 대해서 계속해서 언급해왔고 인터뷰를 진행해온 바 있다. “요즘 해커들은 툴과 노하우를 활발하게 공유합니다. 그래서 서로 닮아가고 있고, 실력도 상향평준화되고 있는 추세죠. 일반 해커들에게 APT 그룹이 일을 주기도 하고, 이 단체 저 단체에서 용병처럼 활동하는 사람들도 늘어나고 있죠. 그래서 이제는 어떤 특징 몇 가지를 가지고 배후 세력을 알아내는 게 불가능에 가까운 일이 되고 있습니다. 범죄자들은 이미 협업하고 공조합니다.”

흔적 감추기
리드의 말 그대로 APT 그룹을 추적하는 건 점점 더 어려운 일이 되고 있다. 따라서 이름을 붙이는 것에 대한 위험 부담도 커지고 있다. 공격자들은 자신들의 ‘시그니처’와 같았던 고유한 툴들을 버리기 시작했고, 대신 암시장에서 누구나 구매할 수 있는 툴들이나 윈도우와 같은 OS 내에 기본적으로 탑재되어 있는 정상 툴들을 악용하는 법을 배웠다. 심지어 다른 APT 그룹의 것이라고 알려져 있는 멀웨어를 골라 쓰기도 한다.

보안 업체 체크포인트(Check Point)의 부회장인 네앗순 지브(Neatsun Ziv)는 “지난 4년 동안 해킹 단체들은 보안 전문가들을 혼동시킬 요소들을 공격의 필수 요소로 첨가해왔다”고 설명한다. “갑자기 사용하던 언어를 바꾸거나, 멀웨어의 타임스탬프를 조작해 근무 시간을 유추하지 못하도록 합니다.”

이러한 부분에 있어서 정점을 찍은 사례가 있으니 바로 올림픽 디스트로이어(Olympic Destroyer)다. 작년 평창올림픽을 공격한 이 단체는 같은 이름의 삭제형 멀웨어를 사용해 올림픽 행사 일부가 진행되지 못하도록 방해했다. 또한 올림픽이 끝나고서도 세계 여러 곳에서 다양한 대상들에 피해를 입히기도 했다.

특이한 건 아직도 올림픽 디스트로이어의 배후자로 명확히 지목된 자가 없다는 것이다. 아니, 너무 많은 용의자들이 언급됐다. 북한, 러시아, 중국이 고루 물망에 올랐다. 다만, 올림픽 디스트로이어의 공격에 사용된 doc 파일들과 매크로들에서는 독특한 점이 발견됐는데, 작성자의 이름이 전부 제임스(James), 존(John), AV 셋 중 하나였다는 것이다. 이러한 특징은 올림픽 디스트로이어를 뒤쫓는 중요한 단서가 되었다.

그러나 그것뿐이었다. 올림픽 디스트로이어 공격에는 너무 많은 혼란 요소가 가미되어 있어, 보안 업체 카스퍼스키(Kaspersky)는 배후 세력의 이름을 하데스(Hades)라고 붙일 정도였다. ‘지옥’이라는 뜻으로, 카스퍼스키의 설명에 따르면 ‘배후자 파악하는 데 있어 이만한 지옥이 없다’는 의미에서 그런 이름을 사용하기 시작했다고 한다.

카스퍼스키는 하데스를 다음과 같이 묘사하기도 했다. “하데스는 올림픽 디스트로이어 멀웨어를 사용하면서 북한의 라자루스 그룹을 흉내 냈습니다. 북한 해커들만 사용하는 고유 코드를 삽입했거든요. 그러나 당시 러시아의 공격 동기도 충분합니다. 평창올림픽에서 약물 사용 혐의로 러시아의 참여가 금지됐었거든요.”

범인을 지목한다는 것
이렇게 범인을 지목하는 게 어려운 일이 되자 보안 업체들의 역할에 대한 이야기가 뜨거운 주제가 되고 있다. 그만큼 보안 전문가들의 책임이 중대해지고 있다는 것이다. 그러면서 ‘범인을 밝혀내는 것의 필요성’ 자체에 대한 이야기도 나오고 있다. 파이어아이의 리드는 “물론 범인을 찾아내는 게 무가치하지는 않지만, 예를 들어 스피어피싱 공격에 있어 배후 세력을 파악하는 게 가장 중요하지는 않다”고 말한다.

그러나 해외에서 사업을 시작하거나, 국가 기관과 사업을 벌이기 시작했는데, 갑자기 해킹 공격이 들어왔다면 배후 세력을 알아내는 게 큰 도움이 될 수 있다고 리드는 덧붙였다. “중요한 건 모든 데이터를 편견 없이 들여다보는 겁니다. 사이버 사건이라는 건 다양한 측면을 가지고 있거든요. 어떤 장비가 공격을 당했고, 어떤 종류의 피싱 공격이 들어왔으며, 어떤 폴더에 멀웨어가 숨겨져 있으며, 어떤 비밀번호가 어떻게 침해되었는지, 전부 다 수집하고 분석해야 합니다. 그런 후에 자연스럽게 ‘누가 그랬을까’를 추적해야죠.”

체크포인트의 지브 역시 “상황과 사건에 따라 범인을 지목하는 문제를 다르게 접근해야 한다”는 입장이다. “사회 기반 시설에 대한 공격이라면 누가 그랬는지 알아야 합니다. 그럼으로써 최대한 그 상대에 대한 맞춤형 방어를 할 수 있게 되니까요. 물론 그렇다고 해서 상대를 알아야만 방어를 할 수 있다는 건 아닙니다. 오히려 요즘 공격자들이 수사에 혼란을 주려고 자신만의 독특한 도구가 아니라 흔히 사용되는 툴들을 사용하므로, 통상적인 방어가 효과를 발휘합니다. 누군지 알기가 힘들어지면서, 오히려 누군지 알아야 할 필요도 줄어드는 아이러니한 상황이 이어지고 있습니다.”

또 재미있는 점 한 가지는 이름이 부여되는 대상이 시간에 따라, 조직에 따라, 언론 보도와 연구 발표에 따라 계속 바뀐다는 것이다. 이에 대해 넷스카웃의 솝코는 “예를 들어 처음에는 공격자들이 벌이는 캠페인 자체에 이름이 붙었는데, 이것이 멀웨어 이름으로 둔갑하기도 하고, 공격 단체의 이름으로 보도되기도 한다”고 설명한다. “이름을 붙이는 것에 너무 성급했을 때 나타나는 현상이라고 보입니다. 공격자의 이름은 추적의 중요한 장치이므로, 서서히, 자연스럽게 만들어지도록 하는 게 가장 이상적입니다.”

3줄 요약
1. 해킹 단체에 붙는 이름들, 학교에서 친구들과 놀 때 지어주던 별명과 같음.
2. 아직까지 기준이나 표준 없어, 발견자들 마음대로 붙임. 마케팅의 이유도 가미되면서 이름은 혼란의 이유가 되기도 함.
3. 그러나 공격자의 이름을 붙인다는 건, 그들을 보다 더 쉽게 추적하기 위한 장치임. 그러므로 전문가들 간 협업과 공조가 필요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 8
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향