요약 : 보안 외신 시큐리티위크에 의하면 유로폴이 범죄용으로 사용되던 코발트스트라이크 서버들을 폐쇄시키는 데 성공했다고 한다. 이번 작전으로 망가진 서버들은 600개 가까이 된다고 하며, 민간 기업들의 협조가 주요하게 작용했다고 유로폴은 발표했다. 용의선상에 오른 IP 주소들은 690개였으며, 이를 확인 및 폐쇄하는 작전은 27개국에서 동시다발적으로 벌어졌고, 결국 593개가 셧다운 됐다. 코발트스트라이크가 범죄자들 사이에서 널리 사용되는 만큼 이번 작전으로 범죄 활동에 적잖은 제재가 가해졌을 것으로 예상되고 있다.


배경 : 코발트스트라이크(Cobalt Strike)는 포트라(Fortra)에서 만든 해킹 도구다. 모의 해킹 훈련을 위해 개발된 정상적이고 합법적인 도구인데 공격자들 사이에서 인기를 얻더니 지금은 범죄자들의 무기로 활용되는 사례가 더 많아진 것처럼 보일 정도다. 포트라 측에서도 이를 막기 위해 여러 가지 방안을 마련해 적용하고 있지만 별 효과를 거두지 못하고 있다.

말말말 : “공격자들은 코발트스트라이크의 구버전을 구하고 크래킹 함으로써 공격 도구로 변환시키는 데 익숙합니다. 이 때문에 포트라 측에서 여러 가지 시도를 해도 큰 효과를 거두지 못하고 있습니다.” -시큐리티위크-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>