도메인, 악성코드, 취약점 정보 등 침해사고지표 공유

 

[아이티데일리] SK인포섹(대표 이용환)의 보안전문가그룹 이큐스트(EQST)는 일본 미쓰비시전기를 해킹한 것으로 알려진 ‘틱(Tick)’ 해킹조직과 관련한 침해사고지표를 공개했다고 22일 밝혔다.

침해사고지표(IOC: Indicator of Compromise)란 해킹사고에 나타나는 침해 흔적을 말한다. 해커가 악성코드를 유포하거나 경유하기 위해 활용하는 도메인을 비롯해, 악성코드 해시(Hash), 공통보안취약점공개항목(CVE: Common Vulnerabilities and Exposures) 등에 대한 정보들이 담겨 있다.

EQST그룹은 그동안 틱 해킹조직을 추적해왔다. 글로벌 사이버위협연합(CTA)과 공유한 해킹 정보, 시큐디움 인텔리전스 데이터베이스에 축적된 정보를 활용했다. 여기에 침해사고대응팀의 포렌식 분석까지 더해져 틱 해킹조직의 공격 흔적으로 특정했다.

EQST그룹이 이번에 공개한 IOC에는 틱 해킹조직이 최근 6개월간 공격에 활용한 도메인 5개, 악성코드 해시정보 138개, 보안취약점 2개 등이 포함돼 있다. 기업들은 IOC 정보를 참고해 보안시스템 정책 설정에 활용하면 된다.

틱 해킹조직은 지난 2013년 플래시 제로데이 취약점 공격을 시작으로 한국과 일본의 공공기관과 민간기업들을 주로 공격해 온 것으로 알려졌다. 소프트웨어 제품의 취약점을 이용하거나, 보안 시스템을 우회하는 등 다양한 공격 기법을 활용한다.

김성동 SK인포섹 침해사고대응팀장은 “그동안 틱 해킹그룹이 국내 공공기관, 방위산업체, 제조기업, IT기업 등을 대상으로 공격을 시도한 사례가 있다”면서, “이번 미쓰비시전기 해킹 사건을 계기로 다시 한 번 경각심을 갖고 해킹 공격에 대비해야 할 것”이라고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지