중국군과 밀접한 관계인 것으로 알려진 중국 해커그룹 'APT1' 혹은 '코멘트 크루'가 미국의 수자원 제어시스템에 접근하려했던 사실이 적발됐다.
5일(현지시간) 외신은 트렌드마이크로 카일 윌로잇 연구원이 글로벌 해킹 컨퍼런스 블랙햇2013에서 이 같은 내용을 발표했다고 보도했다.
앞서 이 해커그룹은 지난해 12월 미국 일부 지방의 수자원 관리시스템을 해킹한 바 있다. 그 뒤 윌로잇은 파일을 열어본 사용자 PC의 모든 접근권한을 가질 수 있게 하는 악성 소프트웨어를 숨긴 워드 문서 파일을 사용해 해커들의 위치를 추적해냈다.
정확한 위치를 추적하기 위해 윌로잇은 산업설비지원시스템(ICS/SCADA) 등의 시스템을 흉내낸 허니팟을 활용했다. 허니팟은 '해커를 잡는 덫'으로 원래 시스템과 비슷한 가짜 시스템을 만들어 놓은 뒤 해커들이 취약점을 공격할 수 있도록 유도하는 방법으로 공격을 일으킨 위치나 공격자에 대한 정보 등을 파악할 수 있다.
윌로잇은 전력 및 수자원 관련 기반시설을 관리하는 시스템을 본따 허니팟을 만들었다. 클라우드 기반 소프트웨어를 활용해 실제 웹 기반 로그인과 설정용 화면을 보여준다.
관련기사
- 자동차 내맘대로 조종, 해킹용 코드 공개2013.08.06
- 해킹으로부터 'e커머스' 지키는 법2013.08.06
- 어나니머스, 여성부 해킹? 진위 논란2013.08.06
- 온라인 꽃뱀...해킹수법까지 동원2013.08.06
그는 이 과정에서 브라우저 익스플로이테이션 프레임워크(BeEF)라는 툴을 사용해 공격자들의 시스템에 대한 정보를 확보했다. 그 뒤 그들의 위치에 대한 정확한 정보를 수집했다. 그는 공격자들이 갖고 잇는 와이파이 송수신 카드로부터 입수한 정보를 바탕으로 삼각측량을 통해 이들의 정확한 위치를 알아냈다.
지난 3월부터 6월까지 윌로잇은 12개의 허니팟을 동원해 74회의 해킹 공격을 유도해냈다. 이 중 핵심적인 공격의 대부분은 중국에서 일어났으며, 독일, 영국, 프랑스, 팔레스타인, 일본 등에서도 공격 시도가 있었던 것으로 확인됐다.