추적 방해하는 위장 표식에 대한 기술적 근거 제시

 

[아이티데일리] 카스퍼스키랩은 자사 위협정보 분석 팀을 통해 ‘올림픽디스트로이어(OlympicDestroyer)’를 분석하면서 웜바이러스에 위장표식이 있었다고 16일 발표했다.

이번 평창 동계 올림픽의 화제 중 하나는 ‘올림픽디스트로이어’ 웜바이러스였다. 올림픽 공식 개막식 전, IT 시스템이 사이버 공격을 받아 일시적으로 마비돼 화면과 와이파이가 꺼지고, 올림픽 웹사이트에서는 사용자들이 티켓을 인쇄하지 못하는 사태가 발생했다. 카스퍼스키랩은 몇몇 스키 리조트 또한 이 웜바이러스의 공격을 받아 리조트 내 스키 게이트와 스키 리프트 작동이 중단되기도 했다고 설명했다.

카스퍼스키랩은 ‘올림픽디스트로이어’의 배후 집단을 찾고자 했고, 그러던 중 북한이 연계된 해킹 집단인 라자루스(Lazarus)와 연관이 있다는 증거를 발견했다. 이 결론은 공격자들이 남긴 고유한 흔적에 기반한 것이다. 파일에 저장된 코드 개발 환경의 일부 특징 조합을 ‘지문’처럼 활용하는 방식인데, 일부 사례에서 악성 코드의 개발자와 프로젝트를 식별할 수 있었다.

카스퍼스키랩이 분석한 샘플의 지문은 라자루스 악성 코드 요소와 100% 일치를 보였으며, 카스퍼스키랩의 데이터베이스에 있는 다른 클린 파일이나 악성 파일과는 일치하는 부분이 없었다. 하지만 카스퍼스키랩이 ‘올림픽디스트로이어’에 감염된 다른 시설을 직접 조사한 결과, 라자루스와 다른 점이 있다는 사실을 파악했고, 다시 조사에 착수했다.

2차 분석을 거친 결과, 연구 팀은 라자루스가 사용하는 지문과 완벽히 일치하도록 위조됐으나 코드와 일치하지 않는 특징을 몇 가지 발견했다. 이에 따라 연구 팀은 처음에 발견된 ‘지문’은 개발자가 의도적으로 악성 코드 내에 심어둔 위장 지문이라는 결론을 내렸다.

박성수 카스퍼스키랩 GReAT팀 책임연구원은은 “우리가 아는 한 카스퍼스키랩에서 찾아낸 증거는 이전에 추적에 사용된 적이 없으나 공격자들은 누군가는 찾아낼 것이라고 예측하고 한 발 앞서 이 점을 이용한 것”이라며, “이번 사례를 통해 공격자들이 노출과 추적을 피하기 위해서라면 기꺼이 시간과 노력을 들인다는 점을 알 수 있으며, 공격 배후 추적은 아주 신중하게 진행해야 한다”고 말했다.

한편, ‘올림픽디스트로이어’의 배후는 아직 밝혀지지 않았다. 카스퍼스키랩은 공격자들이 비트코인을 통해 개인정보 보호 서비스인 NordVPN과 호스팅 업체 MonoVM를 활용한 사실을 찾았다고 설명했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지