솔루션

“해킹 사고의 분석, 수년간의 추적과 경험이 있어야 가능”

이민형

젠 위던 파이어아이 쓰렛 인텔리전스팀 매니저
젠 위던 파이어아이 쓰렛 인텔리전스팀 매니저
[디지털데일리 이민형기자] “우리의 가장 큰 장점은 공격이 감행됐을 때 누가, 어떻게 공격을 했는지 파악하고 이를 사전에 차단하는 것입니다. 공격자에 대한 수년간의 추적과 경험이 있어야 가능한 일입니다.

젠 위던(Jen Weedon) 파이어아이 쓰렛 인텔리전스(Threat Intelligence)팀 매니저는 파이어아이의 경쟁력에 대해 이렇게 자평했다.

파이어아이는 올해 초 APT1 보고서를 통해 최근에 발생한 전세계적으로 발생한 지능형지속가능위협(APT) 공격 중 일부가 중국에서 발생했으며, 특히 중국 정부의 도움이 있었을 것이라고 발표했다. 또 중국이 2006년부터 미국 기업과 정부 전산망을 어떻게 공격하고 정보를 빼내갔는지 추적한 상세한 내용도 함께 공개했다.

위던 매니저는 “우리는 중국 정부의 주도로 발생한 해킹이란 것을 증명하기 위해 7년간 그들을 관찰하고 분석해왔다”며 “분석을 위해 우리는 네트워크 포렌식을 시작으로 주요 인물들에 대한 연구, 중국내 이동통신망(ISP)에 대한 분석, 그들이 어떤 활동을 하는지를 지속적으로 관찰했고, 이를 분석한 결과 중국 정부의 지원을 받는 특정 그룹의 소행임을 밝혀내게 됐다”고 설명했다.

현재 파이어아이가 주시하고 있는 해킹 그룹은 약 20개다. 파이어아이는 이들의 움직임을 파악하기 위해 명령제어(C&C) 서버를 찾아내고 이를 공격자 몰래 지속적으로 모니터링하고 있다. 특정 활동이 발생할때는 이에 대한 패턴을 만들어 저장하고 다른 해킹 사고가 발생했을 때 이를 맞춰서 공격자의 뒤를 쫓는다.

이에 대해 위던 매니저는 “공격자에 대한 행위를 패턴화하고, 각종 인자에 대해서 핑거프린트를 만들어 관리한다. 지속적으로 해킹 그룹을 지켜보면서 악성행위를 탐지하고 차단하는 시스템을 갖추고 있다”고 말했다.

최근 파이어아이는 러시아와 중도쪽의 활동 추적에 주력하고 있다. 그들의 C&C서버를 모니터링하면서 그들이 조그만한 실수를 할 때까지 잠복하고 기다린다. 또한 현재 악성코드 유포 등에 사용중인 도메인을 확보하고 이것이 발각됐을 경우 사용될 도메인에 대한 추적도 진행한다.

지난해 국내에서 발생한 3.20 전산망해킹의 경우도 북한의 소행일 가능성이 높다고 위던 매니저는 지적했다.

그는 “해킹의 유형에는 크게 데이터 유출을 위한 해킹과 시스템 파괴를 위한 해킹으로 나뉠 수 있다. 한국에서 발생한 해킹사고에 대해서 자세히 분석해보진 않았으나 시스템 파괴라는 측면은 러시아, 북한, 이란 등이 종종 사용하는 기법”이라며 “한국 정부에서도 공격자의 IP주소, 악성코드 패턴, 공격기법 등을 들며 북한의 소행이라고 발표한 것으로 알고 있다. 우리도 같은 데이터를 가지고 있었다면 마땅히 같은 판단을 내렸을 것”이라고 강조했다.

이어 “정부의 신임(信任)률과는 별개로 가장 많은 정보를 가지고 있는 곳은 정부기관이다. 그들의 분석 역시 우리와 다르지 않다는 점에서 충분히 가능성이 있다고 본다”고 덧붙였다.

<워싱턴DC(미국)=이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널