물리적인 공격과 마찬가지로 사이버 공격에서도 배후를 판단할 수 있는 7가지 단서가 있는 것으로 나타났다. 키보드 선택, 멀웨어의 메타데이터, 피싱 메일에 내장된 글꼴 등을 바탕으로 대략적인 공격자의 윤곽을 파악할 수 있다는 것이다.
파이어아이는 이 같은 내용을 담은 '디지털상의 7가지 단서:사이버 공격의 배후는 누구인가'라는 보고서를 발표했다고 30일 밝혔다.
이 보고서는 현재 가장 만연해 있는 사이버 공격 특성에 대한 정보와 분석을 제공해 보안 전문가가 공격의 양상을 식별하고, 미래의 진화된 사이버 공격으로부터 조직을 보호할 수 있는 보다 효과적인 방어책을 마련할 수 있도록 도와준다.
이 회사는 이러한 단서를 종합해 '코멘트 크루(Comment Crew)'로 알려진 중국의 군사 집단에 의해 고용된 해킹 집단의 공격 전술을 확인할 수 있었다고 설명했다. 이 조직은 이전에 미국 정부를 대상으로 진행됐던 표적 공격에 연루돼 있는 것으로 추정된다.
김현준 파이어아이 코리아 기술이사는 사이버 위협 동향에서 적을 식별하는 것은 모든 방어 전략에 있어 매우 중요한 부분이라며 진화된 공격에 있어 누가 공격을 감행하며 그러한 공격이 어떻게 작용하는지, 또한 공격 이후 그들이 무엇을 하는지는 조직의 데이터와 지적재산권을 보호하는데 있어 매우 중요하다고 밝혔다.
이 보고서는 공격자가 온라인 상에 남긴 흔적인 공격의 패턴, 행동 및 기술에 대해 식별하기 위해 진화된 공격을 분석한다. 또한 공격 행동, 멀웨어 메타데이터, 또는 키보드 레이아웃과 같은 일곱 가지의 특정 공격 특성에 대해 설명함으로써 특정 국가나 지역에 기인되는 특정 공격을 파악하는데 도움을 준다.
이를 테면 보고서는 멀웨어 메타데이터에 대한 최신의 분석을 제공한다. 이는 이전에는 알려지지 않았던 중국 코멘트 크루의 공격 전술을 확인하는데 도움을 준다고 회사측은 밝혔다. 코멘트 크루는 올해 초 미국 정부를 대상으로 발생한 일련의 공격들과 연관되는 중국의 악명 높은 해커 그룹이다.
보고서는 파이어아이가 전 세계 약 1천500 여개의 기업으로부터 취합한 샘플을 기반으로 아래와 같은 멀웨어 공격과 그들이 주로 사이버 공격자에 대해 어떠한 단서를 남기는지에 대해 보여준다. 다음은 보고서의 핵심 내용이다.
관련기사
- 파이어아이, 6.25 해킹 샌드박싱도 우회2013.07.30
- 파이어아이, KISA 사이버 위협 정보공유키로2013.07.30
- 파이어아이 코리아, APT 방어 세미나 개최2013.07.30
- 파이오링크-파이어아이, APT 공동대응키로2013.07.30
주요 7가지 단서로는 ▲공격자의 키보드 선택이 언어와 지역에 따라 달라진다는 점을 고려한 키보드 레이아웃 ▲멀웨어 소스코드의 기술적인 세부사항으로 공격자의 언어, 위치와 다른 악성공격과 연관성을 살펴볼 수 있는 멀웨어 메타데이터 ▲피싱메일에 사용되는 공격자를 파악할 수 있게 해주는 내장된 글꼴 ▲공격에 사용된 도메인이 공격자의 위치를 파악할 수 있기 해주는 DNS 등록 ▲멀웨어에 포함된 언어 ▲자주 사용되는 멀웨어를 제작하는 툴이 일종의 구성 옵션을 포함하고 있다는 점을 드러내주는 원격 관리 툴 구성▲같은 행동 패턴이나 공격방식 등을 알려주는 행동 등이 있다.
김형준 이사는 공격자들은 그들의 멀웨어 코드, 피싱 이메일, CnC서버, 그리고 심지어 기본적인 행위에서도 그들을 노출 시킬 수 있다며 지문, DNA, 섬유 조직 분석이 범죄 분석에서 매우 중요한 요소가 되고 있는 것과 마찬가지로 만약 연구원이 찾고자 하는 바를 알고 있는 경우 사이버 공격의 흔적을 연결하면 정교한 위협을 행한 공격자를 식별하는데 도움을 줄 수 있다고 말했다.