7일 카스퍼스키랩은 자사 보안 연구원들이 ‘바이러스 불레틴’에 발표한 논문을 인용해 이 같이 밝혔다.

논문에 의하면 해킹 조직은 보안 업체와 피해자들의 눈을 속이기 위해 ▲가짜 타임스탬프 ▲언어 문자열 ▲악성 코드 ▲존재하지 않는 단체로 가장하기 등 위장 전술을 사용하고 있다.

악성 코드 파일에는 컴파일된 시간을 나타내는 타임스탬프가 존재한다. 관련된 샘플이 충분히 수집되면 개발자의 업무 시간을 특정할 수 있으며, 일반적인 운영 시간대를 추측할 수 있다. 그러나 이는 매우 쉽게 변경이 가능하다.

또한, 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로도 단서를 제공하지만, 이 같은 언어 표지 역시 분석가들을 혼란에 빠지게 조작하기 쉽다. 실제로 ‘클라우드 아트라스(Cloud Atlas)’ 해커 조직의 악성 코드는 블랙베리 버전에 아랍 문자열이, 안드로이드 버전에 힌두 문자열이 각각 포함돼 있었다.

공격자가 사용한 C&C(명령 및 제어) 서버를 찾아내는 것은 범인의 집 주소를 찾아내는 것과 비슷하다. C&C 인프라는 비용이 많이 들어가고 유지하기가 어렵기 때문에, 자금이 넉넉한 해커들도 C&C나 피싱 인프라는 재사용하는 경향이 있다. 유출 서버나 이메일 서버에서 데이터를 회수할 때, 스테이징 서버나 피싱 서버를 준비할 때, 또는 해킹된 서버를 확인할 때 범인들이 인터넷 연결의 익명화에 실패하면 백엔드를 통해 정체를 엿볼 수가 있다. 하지만 고의로 ‘실패’를 할 때도 있는데, 대한민국의 IP 주소를 사용하여 분석가들을 현혹시킨 클라우드 아트라스가 바로 그런 예에 해당한다.

다른 해커 조직에게 책임을 떠넘기는 작전도 있다. 이것은 지금까지 추적당한 적 없는 ‘타이거밀크(TigerMilk)’ 조직에서 사용한 방법으로, 과거 ‘스턱스텟(Stuxnet)’에서 사용한 인증서를 도용해 자신들의 백도어에 서명했다.

이창훈 카스퍼스키랩코리아 지사장은 “해킹 조직은 날이 갈수록 IT 조사원들이 확보하려는 단서들을 조작해 혼란에 빠뜨리기 때문에 정확한 추적이 불가능에 가까울 때가 많다”며, “세계적으로 악성 코드 생태계의 강자들을 우선 파악하고, 원하는 기업에게는 유용하고 강력한 인텔리전스를 제공할 필요가 있다”고 말했다.