(0)
 
    
    
자동로그인




소프트정보서비스 블로그 가기
  ★고객지원 시스템 구축-원격제어 솔루션도입_(주)소프트정보서비스★

 
작성일 : 18-03-22 23:02
새로운 위장 전술의 대두, OlympicDestroyer가 보안 업계를 혼란에 빠트린 방법
 글쓴이 : 관리자
조회 : 229   추천 : 0  
카스퍼스키랩에서 새로운 추적 기법에 힘입어 고도로 정교한 위장 전술을 식별하는 성과를
거뒀다.

카스퍼스키랩의 글로벌 위협 정보 분석 팀은 OlympicDestroyer 악성 코드 공격에 대한
자체 연구 결과를 발표하면서, 공격의 실제 근원지를 추적하지 못하도록 악성 코드 제작자
가 웜바이러스에 심어놓은 정교한 위장 표식에 대한 기술적 증거를 제시하였다.

이번 평창 동계 올림픽의 화제 중 하나는 OlympicDestroyer 웜바이러스였다.
올림픽 공식 개막식 전, IT 시스템이 사이버 공격을 받아 일시적으로 마비되어 화면과 Wi-Fi가
꺼지고, 올림픽 웹사이트가 마비되어 사용자들이 티켓을 인쇄하지 못하는 사태가 발생한 것이다.
카스퍼스키랩은 대한민국에 위치한 몇몇 스키 리조트 또한 이 웜바이러스의 공격을 받아 리조트
내 스키 게이트와 스키 리프트 작동이 중단되기도 하였음을 밝혀냈다.
다행히 이 악성 코드가 실제로 큰 피해를 입힌 것은 아니지만 치명적인 영향을 미칠 위력을 가지고
있다는 사실은 명백했다.

하지만 현재 사이버 보안업계의 가장 큰 관심은 OlympicDestroyer의 잠재력이나 공격으로 인한
실제 피해가 아니라 악성 코드의 근원지에 있다.
OlympicDestroyer는 아마도 공격 배후에 대한 추측과 가설이 가장 분분한 악성 코드일 것이다.

악성 코드 발견 후 전 세계의 여러 분석 팀에서 OlympicDestroyer를 추적한 결과 며칠이 지나지
않아 러시아, 중국, 북한이 배후로 지목되었다.
그 근거로는 해당 국가 기반이거나 이들 국가 기관에 고용된 것으로 알려진 사이버 스파이, 사보타주
공격 조직에서 보여주는 특징과 OlympicDestroyer의 몇몇 특징이 일치한다는 점이었다.

카스퍼스키랩 또한 OlympicDestroyer의 배후 집단에 대해 밝혀내고자 했다.
그러던 중 북한이 연계된 악명 높은 국가 지원 해킹 집단인 Lazarus와 OlympicDestroyer가 연관이
있다는 확실한 증거를 발견하였다.


이 결론은 공격자들이 남긴 고유한 흔적에 기반한 것이다.
파일에 저장된 코드 개발 환경의 일부 특징 조합을 ‘지문’처럼 활용하는 방식인데, 일부 사례에서
악성 코드의 개발자와 프로젝트를 식별할 수 있었다.
카스퍼스키랩이 분석한 샘플의 지문은 이미 알려진 Lazarus 악성 코드 요소와 100% 일치율을
보였으며, 카스퍼스키랩의 데이터베이스에 있는 다른 클린 파일이나 악성 파일과는 일치하는 부분이
없었다.
전략, 기법, 기술 (TTP)의 유사성과 더불어 이 지문을 증거로 연구 팀은 OlympicDestroyer가
Lazarus의 활동이라고 일차적으로 결론을 내렸다.
하지만 카스퍼스키랩이 OlympicDestroyer에 감염된 다른 시설을 직접 조사한 결과, Lazarus의
TTP나 동기와 다른 점이 있다는 사실을 파악하였고, 연구 팀은 OlympicDestroyer의 증거 자료를 다시 분석하기로 결정했다.

신중한 2차 분석과 각 특징의 수동 검증을 거친 결과, 연구 팀은 Lazarus가 사용하는 지문과 완벽히 일치하도록 위조되었으나 코드와 일치하지 않는 특징을 몇 가지 발견하였다.

이에 따라 연구 팀은 처음에 발견된 '지문'은 개발자가 의도적으로 악성 코드 내에 심어둔 위장 지문
이라는 결론을 내렸다.
분석 팀이 확실한 증거를 찾은 것으로 착각하게 만들어 더욱 정확한 추적을 방해하는 것이 이 위장
지문의 목적이다.

카스퍼스키랩 GReAT팀의 박성수 책임연구원은(www.kaspersky.co.kr)은 “우리가 아는 한
카스퍼스키랩에서 찾아낸 증거는 이전에 추적에 사용된 적이 없습니다.
하지만 공격자들은 누군가는 찾아낼 것이라고 예측하고 한 발 앞서 이 점을 이용한 것입니다.
아마 이러한 증거가 위조되었다는 사실을 증명하기 어렵다는 점을 노렸을 것입니다.
 
마치 범죄자가 다른 사람의 DNA를 훔쳐서 현장에 자신의 DNA 대신 남겨놓은 것과 같습니다.
범죄 현장에서 발견된 DNA가 고의로 그 자리에 남겨진 것이라는 사실을 밝혀내고 입증하는 것은
수사 기관, 즉 우리의 몫입니다.
이번 사례를 통해 공격자들이 노출과 추적을 피하기 위해서라면 기꺼이 시간과 노력을 들인다는
점을 알 수 있습니다.
카스퍼스키랩은 항상 사이버 범죄의 증거나 흔적이 상당 부분 위조될 수 있기 때문에 사이버 공간
에서의 추적은 어려운 일이라고 지적해왔으며 OlympicDestroyer는 이러한 주장을 정확하게
뒷받침하는 사례입니다.”라고 말했다.

그는 “이번 사건의 또 다른 교훈이 있다면 공격 배후 추적은 아주 신중하게 진행해야 한다는 점
입니다.
사이버 공간이 최근 얼마나 정치적으로 변했는지 생각하면, 잘못된 추적은 심각한 결과를
가져올 수 있으며, 누군가가 국가/정치적 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작
하려고 할 수도 있기 때문입니다.”
라고 덧붙였다.

OlympicDestroyer는 아주 복잡한 위장 전술이 구현된 특수한 사례이기에 정확한 배후는 아직 밝혀지지 않았다.
하지만 카스퍼스키랩의 연구 팀은 공격자들이 비트코인을 통해 개인정보 보호 서비스인 NordVPN과
호스팅 업체 MonoVM를 활용했다는 사실을 밝혀냈다.
이들 업체와 더불어 추가적으로 발견된 TTP는 러시아어 기반 조직인 Sofacy가 이전에 사용한 것으로 알려진 바 있다.

물론 카스퍼스키랩 제품을 통해 OlympicDestroyer 악성 코드를 감지하고 차단할 수 있다.

대한민국과 유럽에서 발생한 OlympicDestroyer 공격에 대한 카스퍼스키랩의 분석 결과는 Securelist.com의 블로그 게시물에서 확인할 수 있다.


 
 

Total 199
번호 제   목 글쓴이 날짜 조회 추천
공지 아이웹 랜섬웨어 공격마비-제2의 인터넷나야… 관리자 10-02 185 0
공지 Kaspersky Threat Intelligence Portal 소개 관리자 06-28 959 0
공지 [성과]국제 CC 인증 취득으로 성능과 무결성을… 관리자 05-16 1148 0
공지 [성과]카스퍼스키랩, AV-TEST 3관왕 달성 관리자 03-29 1360 0
공지 [성과]AV-TEST GmbH로부터 동급 최우수상 -2017년… 관리자 03-22 1443 0
공지 [성과]카스퍼스키 5년 연속 최고의 품질을 입… 관리자 02-23 1390 0
공지 [성과]2017년 카스퍼스키랩 매출 6억9천8백만 … 관리자 02-01 1449 0
공지 [관심]리눅스 서버 보안 솔루션-실제도입 증… 관리자 02-02 1479 0
공지 [성과]유럽 백신 1위-이코노미 조선 기사, "글… 관리자 08-11 1645 0
공지 [성과]새로운 보안위협 정보 교환 협약으로 … 관리자 10-19 1504 0
공지 [필독]전세계 리눅스커널 취약점 현황 추이 관리자 08-01 1911 0
공지 [성과]★★랜섬웨어와의 전쟁: IT 보안 회사와… 관리자 07-28 4844 0
공지 [성과]SC Magazine Awards Europe 2016에서 최고 등급 … 관리자 07-01 5223 0
공지 [성과]러시아 최대 사이버 범죄 조직 검거를 … 관리자 06-30 4497 0
공지 [성과]2015년에 랜섬웨어 공격-카스퍼스키 고… 관리자 05-30 4477 0
공지 랜섬웨어에 대응하는 Kaspersky Security for Windows … 관리자 04-07 4762 0
공지 랜섬웨어 기업에 치명타,그 심각성을 인식하… 관리자 12-09 4714 0
공지 [성과]카스퍼스키랩, 인터폴 및 유로폴과 협… 관리자 09-07 4258 0
199 [성과]‘섀도우패드’ 백도어 발견 공로를 인… 관리자 10-18 2 0
198 KASPERSKY 알려지지 않은 Microsoft Windows 취약점을… 관리자 10-18 3 0
197 USB 드라이브 감염의 10%가 암호 화폐 채굴 악… 관리자 10-18 3 0
196 아이웹 랜섬웨어 공격마비-제2의 인터넷나야… 관리자 10-02 185 0
195 리눅스 보안 관련 뉴스기사-2018년 10월 관리자 10-01 36 0
194 전자신문 36주년 창간 기획 기사 중 카스퍼스… 관리자 10-01 42 0
193 2018년 상반기 신종 IoT 악성 코드 3배 증가 관리자 09-20 45 0
192 2018년 상반기 ICS 컴퓨터 중 40% 이상이 악성 코… 관리자 09-14 68 0
191 2018년 상반기 봇넷 활동 보고서: 다기능 봇의 … 관리자 09-14 45 0
190 DDoS 인텔리전스 보고서에 새로운 키워드로 등… 관리자 09-14 54 0
189 [긴급]Apache Struts 2 취약점 보안 업데이트 권고 관리자 08-28 80 0
188 보이지 않는 위협, 모바일 뱅킹 트로이목마 … 관리자 08-23 83 0
187 주요 업종의 ICS(산업제어시스템)보안을 위험… 관리자 08-16 99 0
186 광고 네트워크를 통한 악성 코드 설치 시도를… 관리자 08-09 101 0
185 새로운 파일리스 암호 화폐 채굴 악성 코드, P… 관리자 08-09 107 0
 1  2  3  4  5  6  7  8  9  10    
회사소개 l 개인정보 취급방침 l 이용약관 l 오시는길