지난해 파이어아이에 인수되기 전 침해사고분석 및 대응 전문 보안회사였던 맨디언트는 정황상 추정에 그쳤던 중국 정부의 사이버 스파이 행위를 적나라하게 들춰낸 보고서를 공개해 세상을 떠들썩하게 했다.
'APT1:중국의 한 사이버 첩보부대에 대한 공개(APT1: Exposing One of China's Cyber Espionage Units)'라는 이름의 보고서에서 맨디언트는 중국을 경유하는 해킹이 인민해방군 소속 61398부대를 통해 상하이에 위치한 12층짜리 건물에서 이뤄졌으며, 미국을 포함한 전 세계 141개 조직으로부터 기밀과 최대 수십억 달러에 달하는 신제품 정보, 기업 인수합병정보 등을 빼냈다고 밝혔다.
국제무대에서 미-중 간 정치적인 힘겨루기가 끊이지 않은 가운데 작은 보안회사가 이러한 결론을 내기까지는 걸린 시간은 약 7년. 맨디언트는 2006년부터 자신들이 'APT1'이라고 명명한 해커그룹의 침해행위 1천905건을 분석해 IP주소와 40여개 변종악성코드, 공격 명령을 내리는 C&C서버 등을 추적해왔다.8일(현지시간) 미국 워싱턴D.C에서 개최된 'MIRcon2014' 침해대응컨퍼런스에서 APT1 활동을 추적하는데 참여했던 파이어아이 쓰렛인텔리젼스팀 보안분석가인 젠 위든 매니저를 만났다.
위든 매니저에 따르면 이러한 보고서를 낼 수 있었던 결정적인 요소는 '인내'다. 그녀는 어떻게 해커그룹을 찾아내냐는 질문에 쉽지 않은 문제이고, 시간 역시 오래 걸린다고 말했다.
해킹 공격자들도 사람인지라 실수를 하게 마련이다. 그런 증거를 하나씩 모으다 보면 결국엔 누가 어떤 방식으로 공격을 수행해 어떤 정보를 탈취했는지에 대해 알 수 있게 된다는 것이 위든의 설명이다.
공격을 수행하기 위해 사용된 악성코드와 침입 당한 네트워크 인프라스트럭처, C&C서버, 피싱 메시지 등을 종합적으로 분석해 공격자들의 지문을 만들고, 그들의 행동패턴을 분석한다는 것이다.
이 때문에 해커그룹을 찾아내는 일은 정해진 이론에 따라 검증을 거쳐 결론을 내리는 '과학(science)'이라기보다는 수집한 정보를 종합적으로 분석해 가능성이 높은 결과를 내놓는 기술(art)에 가깝다고 워든 매니저는 설명했다.
쓰렛인텔리젼스팀이 증거를 모은 것 이상으로 중요하게 생각하는 것은 사이버 범죄 행위의 동기다. 그들이 뭘 하려고 했는지를 알아내기 위해 정보를 수집한다는 것이다.
그녀는 3.20, 6.25 사이버테러에 대해 북한 소행이라고 볼 수 있느냐는 질문에 공격에 사용된 IP주소, 악성코드 패턴, 공격기법이 유사하다면 우리가 해커그룹을 판단하기 위해 보는 포인트와 다르지 않다고 말했다. 이와 관련 더 중요한 근거는 범행 동기에 있다고 그녀는 덧붙였다.
일반적인 해커그룹은 돈을 목적으로 기밀을 훔치거나 탈취한 개인정보로 금융사고를 초래하지만 우리나라에서 발생한 국가적인 사이버테러가 정부, 방송사 웹사이트 등을 통해 시스템 전체를 마비시켰다면 그 목적이 사회혼란을 초래하는데 있다는 점을 봐야한다는 설명이다. 악성코드 등에 대한 분석 못지 않게 이들이 뭘 원했는지를 파악하는 것이 포인트라는 조언이다.
관련기사
- "보안 취약점 공격, 실시간으로 찾는다"2014.10.10
- 애플 겨냥 보안 위협 방어 서비스 확산2014.10.10
- 파이어아이, 공격형 보안위협 방어 서비스 공개2014.10.10
- 국내 은행 노린 악성앱, 1년넘게 정보 훔쳐2014.10.10
파이어아이 쓰렛인텔리젼스팀 내에는 국내외 보안분석팀과 비교했을 때 여성 비율이 높은 편이다.
그 이유에 대해 위든은 보안업계 남성 비율이 90% 이상인 반면 우리 팀 내에는 성비가 비슷하다며 상대적으로 여성 전공자가 적은 컴퓨터 분야 외에도 정치학, 위기관리 전문가들이 대거 포진해 있기 때문이라고 밝혔다. 해커그룹이 공격을 수행한 동기를 찾아내기 위해 기술적인 분석과 함께 정치, 사회적인 분석이 종합적으로 이뤄져야 한다는 점을 시사한다.