| 중국 청부 해커조직, Hidden Lynx 실체는? | 2013.10.22 | ||
Hidden Lynx, 2009년 이전에 조직된 ‘청부 해커집단’
보안업체 Bit9 공격해 Bit9의 코드서명 인증서 악용
이와 관련 시만텍코리아의 윤광택 이사는 22일 서울 프라자호텔에서 개최된 한국CSO협회(회장 이홍섭) 2013년 제9차 포럼에서 중국발 해킹의 주범인 해커조직 Hidden Lynx에 대해 발표했다. 우리나라의 경우 2012년부터 웹사이트 공격대상에서 랭킹 3위에 올라와 있는 등 사이버보안 위협에 노출되어 있기 때문에 Hidden Lynx의 공격대상에서 예외가 될 수 없다. 일반적인 해커들의 경우 불특정 다수를 대상으로 방문자가 웹사이트만 방문해도 감염되는 드라이브 바이 다운로드(Drive by Download) 방식을 많이 활용하는데 반해, Hidden Lynx와 같은 고도의 해커조직은 특정 타깃을 대상으로 스피어 피싱(Spear Fishing) 또는 워터링 홀(Watering Hole) 공격을 주로 사용한다는 게 윤광택 이사의 설명이다. Hidden Lynx 해커조직은 2009년 이전에 조직된 ‘청부 해커집단’으로 알려져 있고, 중국에 거점을 두며 활동한다. 미국, 대만, 한국, 일본 등의 주요 정부기관, 국방관련 기관, 대기업의 협력사를 타깃으로 지적재산, 주요 기관의 중요정보 등을 탈취해 피해를 입힌 것으로 분석됐다. 공격은 주로 커스터마이즈된 트로이목마, 제로데이 익스플로잇, 워터링 홀 공격, 스피어피싱 등의 다양한 수법으로 이루어졌다. 이들 조직의 전문적이고, 정교한 공격 기술력과 공격전략, 조직력 등은 보안업체인 Bit9을 공격을 통해 짐작할 수 있다. Bit9 공격은 이른바 ‘VOHO’ 작전에서 비롯된 것으로 치밀한 워터링 홀 공격이 감행됐다. Bit9은 인증기반 보안 플랫폼을 제공하는데, 서명이 있으면 모두 인증되고 실행이 허용되는 점을 악용했다는 것.
▲ 시만텍코리아 윤광택 이사 Bit9을 해킹한 해커가 Hidden Lynx 조직에 속해 있다는 중요한 연결고리는 Bankdoor Moudoor와 Trojan Naid 등의 커스터마이즈된 악성코드를 사용했다는 점이다. 이와 관련해 여러 작전에서 동일한 C&C 서버 사용이 포착됐고, 공격 대상에 따라 Naid 또는 Moudoor를 배포하는 데 있어 동일한 감염 웹사이트를 사용했던 것으로 알려졌다. 이러한 치밀한 공격은 지난 2009년부터 감행된 것이 확인됐고, 확실한 동기와 숙련된 리소스를 활용해 공격대상의 피해규모를 늘린 것으로 분석되고 있다. 특히, 2011년 이후에는 자신들만이 아는 제로데이 취약점을 이용해 다양한 표적을 대상으로 공격해온 것으로 드러났다. Hidden Lynx 해커조직의 예처럼 지능화되고 고도화된 공격에 효과적으로 대응하는 것은 쉽지 않은 게 현실이다. 이와 관련 시만텍의 윤광택 이사는 “고도화된 타깃 공격의 경우 완벽한 방어가 쉽지는 않지만, 보안의 벽을 두텁게 쌓아서 해커들의 침투를 지연시킬 수는 있다”며, “국내 기관 및 기업도 이들의 주요 타깃에서 벗어날 수 없는 만큼 보안리스크 범위를 확실히 정하고 철저히 대응해야 한다”고 당부했다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
[보안뉴스 김경애] 중국발 해킹이 날이 갈수록 기승을 부리고 있는 가운데 해킹 전문조직인 