파이어아이,‘사이버 공격의 배후는 누구인가’보고서 발표

아주경제 장윤정 기자= 파이어아이는 30일 사이버 공격 특성에 대한 상세 정보를 제공하는 ‘디지털상의 7가지 단서: 사이버 공격의 배후는 누구인가(Digital Bread Crumbs: Seven Clues To Identifying Who’s Behind Advanced Cyber Attacks)’ 보고서를 발표했다고 밝혔다.

이번 보고서는 사이버 공격 특성에 대한 정보와 분석을 제공한다. 이를 통해 보안 전문가가 공격의 양상을 식별하고, 미래의 진화된 사이버 공격으로부터 조직을 보호할 수 있는 효과적인 방어책을 마련하도록 도움을 준다. 또한 이번 보고서를 통해 ‘코멘트 크루(Comment Crew)’로 알려진 중국의 군사 집단에 의해 고용된 해킹 집단의 공격 전술을 확인할 수 있다. 이 조직은 이전에 미국 정부를 대상으로 진행되었던 표적 공격과도 관련된다.

이번 ‘디지털상의 7가지 단서: 사이버 공격의 배후는 누구인가’ 보고서는 공격자가 온라인 상에 남긴 흔적인 공격의 패턴, 행동 및 기술에 대해 식별하기 위해 진화된 공격을 분석한다. 또한 공격 행동, 멀웨어 메타데이터, 또는 키보드 레이아웃과 같은 일곱 가지의 특정 공격 특성에 대해 설명함으로써 특정 국가나 지역에 기인되는 특정 공격에 있어 상당한 도움을 줄 수 있다.

예를 들어, 보고서는 멀웨어 메타데이터에 대한 최신의 분석을 제공하는데, 이는 이전에는 알려지지 않았던 중국의 코멘트 크루에 의해 사용된 공격 전술을 확인하는데 도움을 준다. 코멘트 크루는 올해 초 미국 정부를 대상으로 발생한 일련의 공격들과 연관되는 중국의 악명 높은 해커 그룹이다.

이번 보고서는 파이어아이가 전 세계 약 1,500 여개의 기업으로부터 취합한 샘플을 기반으로 하며, 아래와 같은 멀웨어 공격과 그들이 주로 사이버 공격자에 대해 어떠한 단서를 남기는지에 대해 보여준다. 김현준 파이어아이코리아 기술이사는 “오늘날 사이버 위협 동향에서 적을 식별하는 것은 모든 방어 전략에 있어 매우 중요한 부분”이라며 “이번 보고서에 제시된 방법을 구현하면 보안 전문가는 이전의 위협 행위자를 보다 빠르게 식별 할 수 있으며, 진화된 사이버 공격으로부터 조직을 더욱 안전하게 보호할 수 있다"고 밝혔다.
”라고 밝혔다.

'디지털상의 7가지 단서: 사이버 공격의 배후는 누구인가’ 보고서 핵심 내용은 다음과 같다

▲키보드 레이아웃(Keyboard Layout): 공격자의 키보드 선택은 언어와 지역에 따라 달라지는데, 이는 피싱 시도 속에 숨겨져 있다.
▲멀웨어 메타데이터(Malware Metadata): 멀웨어 소스 코드는 기술적인 세부 사항을 포함하며 이는 공격자의 언어, 위치를 추측할 수 있게 하며, 다른 캠페인들과 연관된다.
▲내장된 글꼴(Embedded Fonts): 피싱 메일에 사용되는 글꼴은 공격의 근원을 의미한다. 이는 일반적으로 글꼴이 공격자의 모국어로 사용되지 않는 경우에도 마찬가지이다.
▲DNS등록(DNS Registration): 공격에 사용된 도메인은 공격자의 위치를 파악하게 해준다. 중복 등록 정보는 다양한 도메인을 한 명의 일반적인 공격자와 연관시킬 수 있다.
▲언어(Language): 멀웨어에 포함된 언어들은 종종 공격자의 모국을 나타낸다. 피싱 이메일에서보여지는 일반적인 언어 실수는 때로 공격자의 모국어를 알아내기 위해 반대로 엔지리어링 될 수 있다.
▲원격 관리 툴 구성(Remote Administration Tool Configuration): 자주 사용되는 멀웨어를 제작하는 툴은 일종의 구성 옵션을 포함한다. 이러한 옵션들은 종종 툴을 사용하는 공격자들에게 뚜렷하게 드러나며, 이를 통해 연구팀은 각기 다른 공격을 일반적인 위협 행동으로 묶을 수 있다.
▲ 행동(Behavior): 방법 및 타깃과 같은 행동 패턴은 공격자의 공격 방식과 동기를 나타낸다.







파이어아이 코리아의 김현준 기술이사는 “공격자들은 그들의 멀웨어 코드, 피싱 이메일, CnC서버, 그리고 심지어 기본적인 행위에서도 그들을 노출 시킬 수 있다”라며, “지문이나 DNA, 혹은 섬유 조직 분석이 범죄 분석에서 매우 중요한 요소가 되고 있는 것과 마찬가지로, 만약 연구원이 찾고자 하는 바를 알고 있는 경우 사이버 공격의 흔적을 연결하면 정교한 위협을 행한 공격자를 식별하는데 도움을 줄 수 있다”라고 말했다.