침해사고/위협동향

“해킹조직, 최신 위장전술로 추적망 따돌려”

최민지

[디지털데일리 최민지 기자] 해킹 조직들이 가짜 타임 스탬프, 언어 문자열, 악성 코드, 존재하지 않는 단체로 가장하는 등 다양한 위장 전술을 통해 추적을 따돌리고 있다. 7일 카스퍼스키랩 보안 연구원은 보안 위협 인텔리전스 환경을 설명하는 논문을 통해 보안 업체와 피해자들의 눈을 속이는 해킹 조직의 최신 위장 전술을 조명했다.

악성코드 파일에는 타임 스탬프가 존재하는데, 관련된 샘플이 충분히 수집되면 개발자의 업무 시간을 특정할 수 있다. 이에 일반적인 운영 시간대를 추측할 수 있게 된다. 이에 공격자들은 가짜 타임 스탬프로 시간을 쉽게 변경해 추적을 피하고 있다.

또한, 악성코드 파일에는 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로가 포함돼 있을 때가 많다. 가장 확실한 단서는 사용한 언어와 능숙한 구사력 수준이다. 디버그 경로는 사용자 이름과 프로젝트 또는 캠페인의 내부 명명 규칙에 대한 단서를 제공하한다. 피싱 문서에 가득 찬 메타데이터에도 개발자의 실제 컴퓨터를 가리키는 상태 정보가 의도치 않게 저장돼 있을 수 있다.

공격자들은 분석가들을 혼란에 빠뜨리기 위해 언어 표지를 조작한다. 클라우드 아틀라스(Cloud Atlas)라는 해커 조직의 악성 코드에는 가짜 언어 단서가 남겨져 있었다. 블랙베리 버전에는 아랍 문자열이, 안드로이드 버전에는 힌두 문자열이, iOS 버전의 프로젝트 경로에는 ‘JohnClerk’이라는 단어가 포함돼 있었다. 실제 해당 해커 집단은 동유럽과 관련된 것으로 추정되고 있다.

공격자가 사용한 명령제어(C&C) 서버를 찾아내는 것은 범인의 집 주소를 찾아내는 것과 비슷하다. C&C 인프라는 비용이 많이 들어가고 유지하기 어렵기 때문에, 자금이 넉넉한 해커들도 C&C나 피싱 인프라는 재사용하는 경향이 있다.

유출 서버나 이메일 서버에서 데이터를 회수할 때, 스테이징 서버나 피싱 서버를 준비할 때, 해킹된 서버를 확인할 때, 범인들이 인터넷 연결의 익명화에 실패하면 백엔드를 통해 정체를 엿볼 수 있다. 하지만, 한국 IP 주소를 사용해 분석가들을 현혹시킨 클라우드 아틀라스처럼 고의로 실패하는 경우도 있다.

또한, 공격자들은 악성 코드를 철수시키는 대신 희귀한 중국 악성 코드의 일부를 심어놓아 추적을 피하기도 한다. 대응팀에서 미끼 악성코드를 조사하는 사이 공격자들은 자신의 악성코드를 제거하고 흔적을 삭제한다. 일부 해킹 조직은 존재하지 않는 단체로 위장하거나 다른 해킹 조직에게 책임을 떠넘기는 작전을 펼치기도 한다.

이창훈 카스퍼스키랩코리아 지사장은 “해킹 조직은 날이 갈수록 IT 조사원들이 확보하려는 단서들을 조작하여 혼란에 빠뜨린다”며 “세계적으로 악성 코드 생태계의 강자들을 우선 파악하고, 원하는 기업에게는 유용하고 강력한 인텔리전스를 제공할 필요가 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널