• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

중동의 고급 해커들, 파키스탄의 공군 노린 캠페인 시작 2018.11.15

중동의 해커 집단인 화이트 컴파니, 뛰어난 기술력 선보이며 파키스탄 공격
8개 유명 보안 제품 무력화시켜…샤힌 작전 말고도 다른 해킹 공격 동시 진행 중

[보안뉴스 문가용 기자] 멀웨어와 익스플로잇을 동반한 새로운 공격 캠페인이 파키스탄의 공군을 덮쳤다. 분석해보니 높은 기술력을 갖춘, 국가 지원 해커들의 소행일 가능성이 높은 것으로 나타났다. 특히 중동 쪽 국가들이 의심되는 상태라고 한다. 이에 대해 보안 업체 사일런스(Cylance)가 보고서를 발표했다.

[이미지 = iclickart]


먼저 이 작전은 ‘정찰’을 목적으로 하며, 이름은 샤힌 작전(Operation Shaheen)이라고 한다. 파키스탄 공군의 상징은 ‘샤힌 매’이기도 하다. 사일런스의 위협 첩보 분석가인 케빈 리벨리(Kevin Livelli)는 “공격을 위한 피싱 이메일 메시지에 샤힌이 자주 언급되는 편”이라고 설명을 덧붙히기도 했다.

기본 중의 기본으로 보이는 피싱 공격이 끝나면 공격자들은 갑작스럽게 ‘고급 해커’의 면모를 보이기 시작한다. 사일런스는 공격자들에게 “화이트 컴파니(White Company)”라는 이름을 붙이고 추적 중에 있으며, 이들에 대해 “굉장히 다양한 탐지 우회 및 난독화 기술을 발휘하고 있으며, 이를 통해 자신들은 물론이고 멀웨어가 잘 드러나지 않도록 한다”고 설명한다.

“화이트 컴파니는 저희가 여태까지 발견한 공격 그룹들 중 굉장히 독특한 위치에 있습니다. 표적형 공격을 하면서 최소 8개의 백신 제품을 전부 무력화시킨다는 점에서 그렇습니다.” 이 8개의 백신 제품은 소포스(Sophos), 이셋(ESET), 카스퍼스키(Kaspersky), 비트디펜더(Bitdefender), 아비라(Avira), 어베스트(Avast), AVG, 퀵 힐(Quick Heal)에서 출시한 것이다. “멀웨어는 특정한 날짜에 맞춰 이 여덟 가지 백신 제품에 ‘항복’합니다. 그렇게 함으로써 피해자의 시스템에 정찰용 무기들을 탑재한 뒤 시선을 딴 데로 유도하는 것이죠.”

리벨리에 의하면 화이트 컴파니가 벌인 이번 공격의 특징은 높은 수준에만 있는 것이 아니라고 한다. “난독화 장치를 정말 많이 사용하고 있습니다.” 사일런스의 수석 컨설팅 책임자인 톰 페이스(Tom Pace)는 이 부분에 대해 “예를 들어 멀웨어를 패킹하는데, 다섯 가지 난독화 기술을 적용할 정도”라고 설명을 추가했다.

“패킹을 다섯 번이나 한다는 건 공격자로서 상당히 큰 리스크를 짊어진다는 소리입니다. 왜냐하면 안에 있는 내용물이 패킹 과정을 통해 변형 혹은 손상될 수 있는데, 패킹 횟수가 늘면 늘수록 그럴 가능성이 높아지기 때문입니다. 그런데도 공격자들이 이러한 방법을 쓴다는 건 그만큼 패킹 기술에 대해 자신이 있다는 뜻이겠죠. 이런 자신감이나 기술력은 흔히 볼 수 있는 게 아닙니다.”

심지어 화이트 컴파니는 현재 샤힌 작전 외에 다른 공격도 실시하고 있다고 한다. 하지만 아직 조사가 다 끝나지 않아, 공격 목표가 누구인지 정확히 알 수가 없다고 사일런스는 밝히고 있다. “하지만 중요한 건 이 고급 해커 집단인 화이트 해커에게 누구나 공격을 당할 수 있다는 겁니다. 지금 당장은 먼 이야기처럼 보일지 모르지만, 당장 내일이 되면 어떻게 될지 모르는 겁니다.”

그러면서 리벨리는 “화이트 컴파니는 수준이 너무 높아서, 기존의 보안 수사 기법을 통해 분석하려고 했다가는 엉뚱한 결과만 얻을 것”이라고 말했다. “주요 포인트는 대부분 놓치고, 정확히 무슨 일이 일어나고 있는지 파악하는 건 불가능에 가까웠을 겁니다. 그렇다면 다음 번 공격에서도 똑같이 당할 확률이 훨씬 높아지는 것이죠.”

그렇다면 어떤 식으로 이들의 공격에 대처해야 할까? 리벨리와 페이스는 “보안의 기본적인 수칙을 지키되, 두 배로 잘 지켜야 한다”고 말한다. “아무리 해킹 기술이 뛰어나고, 경험이 풍부한 베테랑이라고 해도, 최초의 공격은 이메일 한 통에 불과할 수도 있습니다. 이번 샤힌 작전에서도 그러한 모습들이 다수 나왔고요. 기본적인 방어를 두 배로 튼튼히 한다면 화이트 컴파니에 당하지 않을 수 있습니다.”

그러면서 페이스는 “그 최초의 이메일 한 통을 막기 위한 직원 교육도 두 배로 늘려야 한다”고 강조했다. “피싱 이메일 제목에는 주로 어떤 것이 있는지, 어떤 사람들을 주로 노리는지, 실제 사례에는 어떤 것들이 있는지 등을 교육을 통해 알려줘야 합니다. 보안 인식 제고 프로그램도 운영해야 하고요.”

3줄 요약
1. 뛰어난 해킹 집단, 화이트 컴파니, 현재 파키스탄 공군 노리는 작전 실시 중.
2. 일명 ‘샤힌 작전’으로, 정찰을 주요 목적으로 하고 있음.
3. 워낙 뛰어난 공격자들이라, 방어의 기본기를 두 배로 늘려야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>