• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버전 부대인 줄 알았던 사이버 범죄자, 치밀함 부족해 2017.06.01

몰도바의 자동차 부품 회사, 중국 자동차 생산업체 해킹해
이퀘이젼 그룹만이 사용했던 방식 활용... 사이버전 부대인 줄

[보안뉴스 문가용 기자] 일반 범죄자나 사이버 범죄자나, 쉬워 보이는 목표물을 선호한다는 공통점이 있다. 자기만족을 위해 일부러 최첨단 기술을 발휘해가면서 세상에서 가장 까다로운 곳을 농락시키려는 사람은 현실 속에 거의 존재하지 않는다. 그런 사람이 있다손 치더라도 먼저 쉬운 공격 목표를 연습 삼아 노리는 게 먼저다.

[이미지 = iclickart]


그래서 많은 포렌식 전문가들이나 보안 전문 업체들이 사건을 수사할 때 그런 도전 정신 투철한 가상의 용의자를 고려사항에 넣지 않는 편이다. 그러나 최근 중국 자동차 공급 업체의 웹사이트에서 발생한 사이버 공격을 수사하던 시만텍은 조금 이상한 점을 발견했다. 최첨단이라고 불려도 될 만한 툴들이 사용된 것이다. 조금 나중에 밝혀진 사실이지만, 공격자들이 올린 수익도 미비했다. 최고급 공격을 썼는데 결과는 별로였다?

“당연히 특정 국가의 정부가 뒤를 봐주고 있는 공격이라는 생각이 들 수밖에 없었습니다.” 시만텍의 수석 위협 분석가인 존 디마지오(Jon DiMaggio)의 설명이다. 하지만 수사 끝에 드러난 공격자들은 국가 사이버전 부대는커녕 몰도바의 작은 부품 공장이었다. 1백만 원이 넘는 자동차 검사 도구 제작 기술을 훔쳐 유통하려고 중국의 자동차 생산업체를 공격한 것이었다.

디마지오는 “수사 초기에 먼저 발견된 건 자체 제작된 키로거와 2016년 3월 일자가 찍힌 수상한 파일 두 개였다”고 말한다. 시만텍에서 분석한 결과 새로운 종류의 백도어였고, 시만텍은 이 멀웨어에 바초센스(Bachosens)라는 이름을 붙였다. 바초센스는 시스템에 침투하고 나서 정상 자바 애플리케이션 파일처럼 생긴 파일을 만들어내는 기능을 가지고 있다.

재미있는 건 백도어가 도메인 생성 알고리즘(DGA)을 사용해 C&C 서버를 교체해왔다는 것이다. C&C 서버의 IP 주소가 고정되어 있으면 발각되기 쉽기 때문에 공격자들은 DGA를 사용해 수사에 혼선을 주곤 한다. 알고리즘에 따라 다르지만 수천 개의 도메인을 생성할 수 있는 것도 존재한다. 바초센스의 경우 13개의 도메인을 생성하도록 설계되어 있었다.

DGA까지야 ‘사용할 법한 공격’의 범주 안에 들어간다지만, 분석을 이어가던 시만텍은 놀라운 걸 발견했다. C&C 서버와 멀웨어의 통신 방식이 기존 멀웨어의 그것과 달랐던 것이다. “보통의 멀웨어들은 HTTP나 HTTPS 방식으로 통신을 합니다. 바초센스는 어땠을까요? DNS 방식을 사용하고 있었습니다. 게다가 AAAA 방식으로 암호화된 지시를 서버로부터 받아 비밀 통신 채널을 개설했습니다.”

AAAA란 128비트 DNS 시스템에서 사용되는 레코드 유형으로 IPv6 주소를 사용한다. 디마지오에 의하면 이 통신 방식은 오로지 이름을 숫자로 변환하는 데 필요한 여러 기록들을 전송하는 데에만 사용되기 때문에, 몰래 숨어들어 C&C 서버와 은밀한 통신을 하는 데 활용하기는 매우 어려우며, 따라서 드문 방식이라고 한다.

바초센스 공격자들이 흔치 않기도 하거니와 기술적으로도 어려운 공격 기법을 활용한 덕분에 C&C 서버와의 통신은 극히 정상적으로 보였다. “공격자들이 일반 탐지 기법의 원리를 잘 이해하고 있는 것이 분명합니다. 게다가 그걸 우회할 능력까지 갖추고 있고요.”

실제로 이런 방법은 NSA와 관련이 있다고 믿어지는 이퀘이젼 그룹(Equation Group)만이 활용한 적이 있다. “그러니 수사 초기에 여러 정보기관들을 용의선상에 올려놓을 수밖에 없었죠.” 다행히 공격자들이 굉장히 기본적인 실수를 저지르는 바람에 시만텍은 꼬리를 잡을 수 있었다고 한다. “키로거에는 난독화 기술이 적용되지 않았고, 멀웨어 샘플 중 하나는 온라인 게임과 같이 패키징 되어 있었고요.”

시만텍은 “사이버 범죄자들의 기술이 상향평준화되고 있어 사이버전 부대와의 차별성이 점점 사라지고 있는 추세이긴 하지만, 급히 실력이 늘어난 이면에 꼼꼼함이나 기본기가 부족한 특성을 가지고 있는 듯 하다”며 “예전처럼 쉽게 공격자를 결론 내려서는 안 된다는 교훈을 얻었다”고 설명했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>