정부는 크라임웨어 적극 활용, 일반 해커는 스파이 기법 활용

서로가 서로인 척 함으로써 정체를 어느 정도 숨기는 것이 가능

[보안뉴스 문가용] 최근 맨디언트(Mandiant)에서는 사이버 공격 유형을 분석한 보고서를 발간했다. 맨디언트는 사이버 공격 유형을 크게 두 가지로 구분했는데, 바로 정부의 후원을 등에 업거나 정부가 직접 자행하는 사이버 공격과(사이버 스파이) 개인 혹은 정부와 전혀 별개인 사이버 공격(사이버 범죄)이 바로 그것이다. 이 둘 사이에 있는 경계가 질 안 좋은 목적을 위해 흐려지고 있다는 게 이번 보고서의 핵심 내용이다.

1. 좀도둑 따라하는 정부들

최근에 정부들이 적국을 겨냥해 감행하는 사이버 스파이 행위에서 일반 사이버 범죄의 특징들이 나타나기 시작했다. 먼저 사용하는 툴들이 사이버 범죄자들이 주로 사용하는 것들로 바뀌어 가는 추세라고 한다. “그래서 사이버 스파이 행위와 사이버 범죄 행위 사이의 애매모호한 구역이 점점 넓어지고 있습니다. 정부들이 일반 범죄자들인 척 하는 거죠.”

좋은 예가 최근에 발생했던 샌드웜(Sandworm) 사건이다. 러시아 정부와 깊은 연관이 있는 이 해킹 단체는 블랙에너지(BlackEnergy)라는 트로이 목마를 활용해 목적한 바를 이룬 것이다. 블랙에너지는 스카다(SCADA) 시스템 등 산업용 통제 및 제어 시스템을 주로 공격하는 크라임웨어로 유명하다. “(러시아 정부가) 크라임웨어 툴킷을 사용하면 어느 정도 정체를 가릴 수 있다는 점이 가장 큰 이점이죠. 게다가 들키더라도 얼마든지 발뺌할 수 있고요.”

카스퍼스키에서도 최근 블랙에너지와 결합하는 네 가지 플러그인을 발견한 바 있다. 역시나 샌드웜이 제작한 것이었다. 결국 이미 유명한 블랙에너지를 사용해 범죄 단체인 척 가면을 쓰고 진짜 도구는 플러그인 형태로 감춘 후 활동을 한 것이다. “보안 업체에서 이 블랙에너지를 발견한다고 치죠. 그러면 자동으로 일반 해커들이 한 것으로 여길 것입니다. 샌드웜은 일단 1차 용의선상에서 멀어지는 것이죠.”

국가의 사이버 스파이 행위의 특징인 APT라는 공격 방식도 당분간 의심받지 않을 수 있다는 것도 장점이다. “샌드웜은 플러그인을 실행하거나 설치하는 것에 굉장히 조심스러운 단체입니다. 최대한 발각되지 않도록 조심조심 움직이고, 실제로 잘 발각되지도 않죠.”

이렇게 처음부터 전혀 엉뚱한 방향으로 수사망을 좁히면 어떤 일이 일어날까? 제대로 된 후속조치를 할 수가 없다는 것이 맨디언트의 주장이다. “개인정보가 유출되었다고 합시다. 그런데 이게 일반 사이버 범죄자들 손에 들어간 것과 어떤 국가의 손에 들어간 것 사이에는 대응의 차이가 있을 수밖에 없습니다. 일반 사이버 범죄자들은 그 정보를 보다 즉각적으로 활용할 가능성이 높고, 정부는 좀 더 장기적인 계획을 짤 가능성이 높습니다.”

2. 정부의 스파이 행위 따라가는 좀도둑들

이런 ‘닮아가는 현상’은 양방성을 가지고 있다. 그러므로 반대의 경우도 존재한다. 국가의 사이버 스파이 행위는 스피어피싱 이메일이나 트로이목마 백도어 바이러스 등을 동반해 조용히 시스템에 안착하는 게 특징이다. 그리고 오랫동안 머무른다. 이런 방식을 이제 일반 사이버 범죄자들도 취하고 있다.

최근 일어난 카르바낙(Carbanak) 사이버 범죄 단체의 10억 달러 은행 해킹 사건이 좋은 예다. 30개국 100개소 은행에서 거의 사상 최대의 돈을 훔쳤는데, 카르바낙은 최초에 피싱 이메일을 발송함으로써 공격을 시작한 것으로 알려졌다. 게다가 카르버프(Carberp)라는 트로이목마를 사용해 데이터를 훔치고 시스템의 원격 제어까지도 가능하게 했다.

그러나 가장 흥미로운 건 카르바낙이 영상 감시 기술을 악용했다는 것이다. 은행들에 있는 영상 감시 시스템에 침입해 은행 직원들을 관찰하고 분석해 나중에 돈을 송출하거나 할 때 완벽히 은행원인 것처럼 가장할 수 있었다. 보통 ATM을 해킹한다고 해도 재빠르게 뛰어들어 돈을 들고 재빨리 도주하는 과정이 필요한 게 사이버 범죄자들이 그간 보여 왔던 모습인데, 카르바낙의 이런 방식은 그것과는 전혀 다르다.

3. 수사는 계속 미궁 속으로

둘이 서로 닮아가면서 나쁜 시너지가 나고 있다. 수사가 점점 어려워지고 있는 것이다. “범인을 정확히 짚어내는 게 불가능에 가까워질 정도로 힘들어지고 있습니다. 수사를 어렵게 만드는 요인은 이미 차고 넘칠 정도로 많은 상태였는데 말이죠. 아직도 딱히 명확한 돌파구가 보이지 않습니다.”

기존에 사이버 공격이 일어났을 때 수사를 힘들게 했던 요인 중 대표적인 것으로는 한 기업이나 조직을 한 해커나 해킹 단체가 노리는, 1:1의 관계가 현실 속에서는 절대 일어나지 않는다는 것이었다. “보통 한 기업을 조사하다보면 여러 해커의 흔적을 발견합니다. 게다가 이미 상당히 오래 전에 일어났던 공격과 최근에 일어난 공격의 흔적까지 공존하다보니 범인은커녕 사건의 진상을 파악하는 것만도 상당히 까다로운 일이 되어버리는 것이죠.”

맨디언트는 “최근 어떤 기업의 네트워크를 조사하다가 기업도 전혀 알아채지 못한 8년 전 공격의 흔적을 발견한 적이 있었다”며 “그 악성 파일은 서버에 남은 채 그 오랜 기간 동안 현존하지도 않는 C&C 서버에 계속해서 호출 신호를 보내고 있었다”는 경험을 나누기도 했다. 네트워크 안에서 도대체 무슨 일이 벌어지고 있는 걸까. 누가 들락날락 하고 있는 걸까. 나쁜 게 나쁜 걸 닮으면서 세상은 점점 복잡해지고 있다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>