[아이티데일리] 사이버 공격 조직이 다른 조직을 해킹해 피해자 데이터를 훔치고 도구와 기술 등 서로의 인프라를 재사용하고 있어 보안연구원의 주의가 필요하다는 주장이 제기됐다.

9일 카스퍼스키랩(한국지사장 이창훈)은 이런 정황으로 인해 보안연구원이 정확한 위협 인텔리전스를 제공하기 어려워지고 있어, 해킹조직 작업분석방식을 개선할 필요가 있다고 밝혔다.

정확한 위협 인텔리전스를 제공하기 위해서는 특정 해킹 조직의 단서가 되는 패턴과 도구를 밝혀내는 작업이 필요하다. 이러한 지식을 통해 다양한 해킹 조직의 목표와 공격 대상, 행동을 더욱 정확하게 파악해 기업의 위험 수준 판단에 도움을 줄 수 있다. 그러나 해킹 조직이 서로를 해킹하고 서로의 도구와 인프라, 심지어 피해자 정보까지 탈취하기 시작하면서 기존의 작업 모델이 급속도로 붕괴되고 있다고 카스퍼스키랩 측은 설명했다.

카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT) 연구진은 이 유형의 공격에 대한 심층 분석을 통해 수동적 공격과 능동적 공격이라는 두 가지 접근법을 확인했다. 수동적 공격은 다른 해킹 조직에서 전송 중인 데이터를 가로채는 방식으로, 예를 들어 피해자와 C&C(명령 및 제어) 서버 사이에 데이터가 이동할 때를 노려 가로챈다. 이 경우에는 탐지가 거의 불가능하다.

능동적 공격 방식은 다른 해킹 조직의 악성 코드 인프라에 침투하는 방식으로, 탐지될 위험이 커지지만 그만큼 이득도 크다. 정기적으로 정보를 손에 넣어 다른 해킹조직과 그 피해자를 모니터링 할 수 있고, 심지어 악성프로그램을 삽입하거나 피해자 이름으로 공격을 개시할 수도 있다.

GReAT는 특정 해킹 조직을 조사하던 중 능동적 공격이 진행된 사례로 ▲C&C(명령 및 제어) 인프라에 백도어 설치 ▲해킹한 웹사이트 공유 ▲프록시를 이용한 공격 대상 선정 등을 발견했다. 또한, 공격의 주체는 대개 국가의 지원을 받는 해킹 조직이며 해외기반이거나 실력이 뒤처지는 해킹조직을 대상으로 한 공격이라고 예상하고 있다.

이창훈 카스퍼스키랩코리아 지사장은 “최근의 해킹 공격은 단서가 거의 없고 조작도 쉽기 때문에 여건이 좋아도 원인을 밝혀내기 어려운데 이제는 해킹 조직이 서로 해킹하며 발생한 영향까지 고려해야 하는 상황”이라며, “위협 인텔리전스 연구진은 잠시 여유를 갖고 고급 해킹 조직의 작업분석에 대해 사고방식을 조금 바꿔볼 필요가 있다”고 말했다.