Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.itworld.co.kr/news/110944 




2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개했다. 170페이지가 넘는 이 기소장은 미국 로스앤젤레스 FBI의 네이썬 쉴즈가 작성했으며 사이버공격 방식을 알아내기 위해 수사 당국이 사용한 포렌식 분석을 잘 보여주고 있다.

박진혁의 해킹 단체는 보안 전문가들 사이에서 여러 이름으로 불리고 있다. 라자러스 그룹(Lazarus Group), APT37, Lab 110, Group 123, 히든 코브라(Hidden Cobra), 니켈 아카데미(Nickel Academy), 그리고 리퍼(Reaper) 등이 그것이다.

이 가운데 일부는 해당 해킹 단체가 생성한 악성코드 이름에서 따온 것도 있다. 기소장은 서두에서 이 북한 해커 집단이 지난 6년 동안 각종 사이버 공격의 중심에 있었다고 주장했다.

물론 북한 정부 측은 박진혁의 존재 자체를 부인하고 있으며, 그가 기소된 사건들은 북한 정부와는 "전혀 관계가 없다"고 반박했다. 하지만 이번 기사는 박진혁이나 북한 정부의 유무죄 여부를 판단하려는 것이 아니다. FBI가 수사 과정에서 찾아낸 자료들과, 이 사건들을 통해 기업의 CISO 및 IT 관리자가 보안에 대해 배우고 명심해야 할 것들을 알아 보려고 한다.

FBI가 소니 해커를 찾아낸 방법
 이 기소문은 법적 관점에서 읽을 것이 아니라, 북한 정부가 네트워크에 침투하기 위해 얼마나 혈안이 되어있는 지를 중점적으로 봐야 한다. 소니 해킹 사건에 대해 FBI가 밝혀 낸 사실들은 다음과 같다.

FBI는 박진혁의 움직임을 디지털로 추적할 수 있었다. 박진혁은 중국 국경 지대에서 북한 정부의 유령회사이자 군사 해킹 작전으로 알려진 조선 엑스포(Chosun Expo) 직원으로 일하고 있었다. 소니 해킹이 시작되기 직전 그는 북한으로 돌아갔다.

우선 FBI는 악성코드의 여러 부분들을 조직적으로 해체, 분석해 3건의 소니 데이터 유출 사고와, 3번의 워너크라이 공격이 발생한 타임라인을 만들어 냈다.

소니 악성코드에는 1만 개의 하드코딩 된 호스트 이름이 들어있었다. 해커들이 소니 네트워크 내부에서 들키지 않고 최소 몇개월 이상 머무르며 폭넓은 조사를 했음이 드러나는 대목이다. 또한 악성코드에는 소니 네트워크에서 사용하는 특정 유닉스/리눅스 시스템을 공격하는 코드도 포함되어 있었다.

첫 번째 정찰이 이뤄진 것은 2014년 가을이었다. 12월 첫 번째 공격이 있기 수 개월 전이었다. 이 정찰은 또한 해커들의 공격의 동기가 되기도 했던 영화 '더 인터뷰(The Interview)'가 개봉하기 바로 전에 일어나기도 했다.

공격자들은 여러 가지 다른 요소들도 사용했는데, 그 가운데에는 소니 직원의 페이스북 계정에서 보낸 것처럼 보이는 스피어 피싱 이메일도 있었다. 이들 이메일은 악성코드 첨부 파일에 잔뜩 감염된 상태였다.

이 밖에 AMC 씨어터(AMC Theater) 직원들에게 보낸 이메일들도 있었다. AMC에서는 크리스마스 오프닝으로 이들 영화를 상영할 예정이었다. 소니와 마찬가지로 이 이메일들에도 악성코드 첨부 파일이 잔뜩 들어 있었지만, AMC의 네트워크 침투시도는 다행히도 실패로 끝났다.

한편, 소니 공격에 사용된 똑같은 이메일과 IP 주소가 북한을 소재로 한 독립 TV 쇼를 만든 영국의 제작사를 공격하는 데에도 똑같이 사용됐다. 존 칼린은 자신의 저서 '냉전의 새벽(Dawn of the Cold War)'에서 국가간 사이버 전쟁에 대해 자세히 소개하고, 소니를 표적으로 한 여러 사이버 공격들 및 다른 국가 주도 사이버 테러리스트들의 공격 시도에 대해서도 상세히 설명했다.

2016년, 동일한 북한 해커들이 이번에는 스위프트(SWIFT) 지불 네트워크를 공격하여 동남아시아 여러 국가의 은행들로부터 기금을 훔치는 데 성공했다. FBI는 이들이 동남아시아 은행들을 표적으로 삼기 시작한 것은 2014년 가을부터였다고 밝혔다.

이들 은행은 TLS 트래픽과 유사한 커스텀 바이너리 프로토콜을 통해 커뮤니케이션 할 수 있는 백도어에 감염되어 있었다. 아시아 은행들과 소니에서 발견된 악성코드는 유사한 삭제 기능을 공유하고 있어 이 사건의 배후를 북한 해커들로 좁혀갈 수 있었다.

1.jpg

박진혁 및 그의 해커 팀은 무척 분주하게 움직였다. 이번에는 폴란드의 은행들이 워터링 홀(watering hole) 공격의 대상이 되었다. 북한의 폴란드 은행 공격 사실은 2017년이 되어서야 드러났지만, 시작은 2016년 가을 무렵이었던 것으로 추정된다.

이 공격에 사용된 이메일 주소, 페이스북 계정 및 북한 IP 주소는 공교롭게도 록히드 마틴과 같은 미국 기업 및 한국의 일부 기업들을 대상으로 한 공격에서도 사용되었던 것으로 드러났다. 북한 해커들이 만든 악성코드들 중에는 브람불(Brambul) 및 데스트오버(Destover)같은 것들이 포함됐다.

FBI는 Group-IB 러시아 리서치 애널리스트들의 조사 자료를 토대로 분석을 진행했다. 러시아 애널리스트들의 보고서가 출시된 것은 2017년 중반이었는데 이런 해킹 시도들 중 상당수를 한 데 엮는 역할을 했다.

마지막으로, 앞서 설명한 해킹에 사용된 악성코드 요소들은 워너크라이에서도 발견되었으며, 그 밖에 IP나 이메일 주소 같은 주요 정보들도 함께 발견됐다. 워너크라이에는 사실 3가지 버전이 있는데, 3버전 모두 동일한 코드로 엮여 있으며 비트코인 지갑 주소를 공유한다.

북한 정부의 통제 및 명령 체계, 세계 곳곳으로 확산
 이번 기소문을 읽으면서 필자가 충격을 받았던 부분은 북한 정부의 명령, 통제 체계가 이렇게까지 전 세계적으로 뻗어 있을 줄 몰랐다는 것이다.

미국, 남아프리카, 사우디 아라비아, 폴란드 등 다수 국가에 서버가 흩어져 있었다. 이메일 계정 역시 전 세계 곳곳의 여러 VPN과 프록시 서버에서 액세스할 수 있었다. 다분히 그 근원지를 숨기고자 하는 의도가 드러나는 부분이다. 또한 지메일 계정 및 가짜 페이스북 프로필을 이용해 다수의 백도어와 트로이목마를 배포하기도 했다. 박진혁과 연결된 여러 가짜 계정들은 다음 그림을 참조하라.


2.jpg

그런데 더욱 놀라운 것은 비교적 최근까지만 해도, 북한 전역을 통틀어 공용 IP 주소는 약 1,000개 밖에 없었으며 인터넷 연결 대역폭도 매우 낮았다는 것이다. 2016년 1월 해커들이 소니에 대한 복수를 다짐하며 ISP에 디도스 공격을 감행할 수 있었던 것도 이 때문이었다.

CISO와 IT 매니저를 위한 다섯 가지 교훈
 이번 기소문과 북한의 여러가지 해킹 시도로부터 배울 수 있는 5가지 IT 교훈을 함께 살펴 보자.

1. 대비, 교육이 가장 중요하다
AMC가 가짜 피싱 이메일에 넘어가지 않을 수 있었던 것은 더 철저한 직원 교육과 철통 같은 방어가 있었기 때문이었다. 인식 교육은 연중 끊임없이 이뤄져야 한다. 피싱 이메일을 진짜처럼 보이게 만드는 해커들의 능력도 나날이 발전하고 있다. 이들은 내부자만 알 수 있는 정보를 넣기도 하고, 기업 로고와 템플릿을 사용하며, 진짜와 매우 유사한 도메인 명과 이메일 주소를 사용한다.

웜뱃 시큐리티(Wombat Security), 노우비포(KnowBe4), 미디어프로(MediaPro), 그리고 SANS 인스티튜트(SANS Institute)에 이르기까지 다양한 공급업체들이 인식 개선 교육 프로그램을 제공하고 있다. 이런 프로그램들의 목적은 지속적인 평가, 교육, 강화, 그리고 측정의 사이클을 유지하는 것이다. 또한 사용자가 교육에 따르는 부담을 덜고, 더 교과적으로 교육을 실시할 수 있도록 하려면 어떤 인센티브를 제공하는 것이 좋은 지 생각해야 한다.

2. 탐지 시스템, 제대로 작동하고 있는가
 기업들은 지금보다 더 나은 침입 탐지 메커니즘이 필요하다. 소니만 해도 그렇다. 북한 해커가 소니 네트워크 내부에 침투해 수개월이나 머무르며 어떤 서버를 공격할 지, 어떤 직원의 계정을 복제할 지 결정하는 동안에도 소니는 이를 몰랐다.

자사의 침입 탐지 시스템(Intrusion Detection System, IDS)이 침입자를 탐지해 내지 못한다면 다른 솔루션을 알아봐야 할 때다.

해커는 표적을 선정할 때 무척 조심스럽게 고른다. 조금이라도 더 진짜 같아 보이기 위해, 그리하여 피싱 이메일과 워터링 홀에 속아 넘어올 확률을 조금이라도 올리기 위해 표적에 대한 조사를 철저히 하는 것이다. AMC 사를 제외하면, 해커들은 거의 모든 기업 네트워크를 성공적으로 침투할 수 있었으며 그 내부에서 대상이 모르는 상태에서 수개월을 보내곤 했다.

3. 망 분리 강화
IDS의 완성을 위해서는 망 분리(network segmentation)를 강화할 필요가 있다. 소니의 네트워크는 전혀 파티션이 나눠지지 않은 상태였기 때문에 해커들이 횡적으로 움직이기가 더욱 쉬웠다. 데이터를 적절한 구역으로 분리하고 나누는 것이 이를 안전하게 보호할 수 있는 방법이다.

4. 액세스 권한에 대한 감사
 액세스 컨트롤도 한 번쯤 감사가 필요하다. 어떤 직원들이 관리자의 권한을 가지고 있는지, 너무 위험하거나 지나친 권한을 허용하고 있지는 않은 지 살펴봐야 한다.

5. 레드 팀을 꾸리고 운영하라
 레드 팀을 만들어 운영함으로써 보안상의 약점을 찾도록 하자. 전체 보고서는 레드 팀이 사용할 수 있는 구체적인 정보를 담고 있다. 이런 정보는 과연 소니 해커들이 사용했던 동일한 전략에 자사의 네트워크도 취약할 것인지를 판단하는 데 쓰일 것이다. 앞서 설명한 문제들을 다 해결한 후에 레드 팀을 운영하는 것이 가장 이상적이다



자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

호신

2018.10.09 11:56
가입일: 2018:05.01
총 게시물수: 10
총 댓글수: 54

덜덜.. 대단하군요.

List of Articles

유용정보 한글날 기념 무료 글꼴 5선

한글날 무료 글꼴 소개합니다. ----------------------------------------------------- 한글날을 하루 앞두고 기업과 공공기관에서 제작한 무료 글꼴이 대거 공...

  • 등록일: 2018-10-09

310

VIEWS

11

COMMENTED

IT정보 애플 자체개발 '모바일 AP' 성능 2배…삼성·퀄컴 '화들짝'

애플 아이폰 XS의 두뇌 격인 모바일 애플리케이션프로세서(AP) ‘A12 바이오닉’의 성능이 퀄컴, 삼성전자 등 다른 안드로이드 계열 AP 회사들이 만드는 칩보다 최...

  • 등록일: 2018-10-09

127

VIEWS

4

COMMENTED

IT정보 한국 정부 메일 포함 1만7천여 개 메일주소·비밀번호 유출

페이스트빈에 공개... 해킹된 웹사이트 회원들의 계정정보 가능성 정부 메일 악용될 경우 피해 커져... 비밀번호 교체 등 후속조치 필요 본지, KISA에 해당 페이...

  • 등록일: 2018-10-09

379

VIEWS

3

COMMENTED

IT정보 “슬림 노트북의 최강자, 성능은?” 에이서 스위프트 7

“슬림 노트북의 최강자, 성능은?” 에이서 스위프트 7

  • 등록일: 2018-10-08

134

VIEWS

2

COMMENTED

IT정보 소니 해커 기소문을 통해 알아보는 5가지 IT 보안 교훈들 file

2018년 8월, 미 법무부(DoJ)는 소니 해킹과 워너크라이 랜섬웨어의 생성, 배포 혐의를 받고 있는 북한 정보공작원 박진혁(Park Jin Hyok)에 대한 기소장을 공개...

  • 등록일: 2018-10-08

143

VIEWS

1

COMMENTED

IT정보 5G 장비선정 앞두고 터진 '中 스파이칩'..화웨이 진화에 '진땀' file

국내 주요 이동통신사들이 5세대(5G) 망 구축을 위해 장비선정을 앞두고 있는 가운데, 중국기업 화웨이의 5G 장비에 대한 보안 의혹이 또다시 제기되고 있다. 이...

  • 등록일: 2018-10-08

139

VIEWS

5

COMMENTED

IT정보 [ 삼성 '기어' 브랜드 사실상 폐지 수순…'갤럭시'로 통합 ]

삼성 '기어' 브랜드 사실상 폐지 수순…'갤럭시'로 통합 출처:https://news.naver.com/main/read.nhn?mode=LSD&mid=sec&oid=277&aid=0004329420&s...

  • 등록일: 2018-10-08

198

VIEWS

윈도정보 윈도10 업데이트 긴급중단..파일 무차별 삭제 오류

윈도10(RS5) 버전 업데이트 이후 '내 문서' 파일 삭제 버그 발생 신고 MS "업데이트 중단…원인 조사 중" [아시아경제 김동표 기자] 마이크로소프트(MS)가 윈도10 ...

  • 등록일: 2018-10-07

517

VIEWS

21

COMMENTED

윈도정보 *Windows 10, 레드스톤5(RS5)로 업그레이드한 후에, 사용자 파일 삭제되는 버그 발견됨 * file

*** 홍차의 꿈 님이 허락하시어 가지고 왔습니다. *** http://jsb000.tistory.com/1083?category=826329 레드스톤5로 업그레이드한 컴퓨터의 사용자(다운로드) 파...

  • 등록일: 2018-10-07

386

VIEWS

4

COMMENTED

IT정보 마이크로LED 시대 머지 않았다…韓 중견기업도 가세

삼성전자, LG디스플레이 등 대기업에 이어 국내 중견기업들도 유력한 차세대 디스플레이 기술로 꼽히는 마이크로LED 분야에 하나둘 뛰어들고 있다. 한참 멀어보였...

  • 등록일: 2018-10-07

145

VIEWS

1

COMMENTED

IT정보 애플·아마존 서버 '중국 스파이 칩' 발견…양사는 '사실 무근'

 애플과 아마존 웹서비스의 데이터센터 서버에서 중국 정부가 해킹 목적으로 제작한 스파이 칩이 발견됐다고 블룸버그 비즈니스위크가 4일(현지시간) 보도했다. ...

  • 등록일: 2018-10-06

179

VIEWS

5

COMMENTED

윈도정보 Windows 10 RS5 업그레이드 홈페이지가 RS4로 변경 되었습니다 file

아래와 같이 RS5 가 사라지고 RS4로 변경 되었습니다 새로 설치 하시는분들은 문제가 없겠지만??? RS4에서 자동업데이트로 업그레이드 하시는분들은 문서가 삭제 ...

  • 등록일: 2018-10-06

468

VIEWS

12

COMMENTED

IT정보 접었다 폈다 ‘폴더블폰’… 시장선점 경쟁 후끈

스마트폰 시장 판도 바꿀 ‘히든카드’ 출시 임박 #1 고동진 삼성전자 IM부문장은 지난달 초 외신과의 인터뷰에서 “폴더블폰(Foldable Phone·접었다 폈다 할 수 있...

  • 등록일: 2018-10-06

135

VIEWS

2

COMMENTED

IT정보 암호화된 MS워드 파일 포함된 악성 메일 유포중...주의

▲ 실제 수신된 메일 내용. 이스트시큐리티 제공. 최근 암호화된 워드(DOC) 파일이 포함된 악성 메일이 국내에 유포되고 있어 이용자들의 각별한 주의가 요구된다....

  • 등록일: 2018-10-06

150

VIEWS

4

COMMENTED

IT정보 [ 영상,전·후면 카메라 5개 '갤럭시노트10' 이런 느낌? ]

전·후면 카메라 5개 '갤럭시노트10' 이런 느낌?발췌:https://kbench.com/?q=node/191875 2018/10/05 19:26:47        유튜브 채널 스마트폰360(SmartPhone 360) ...

  • 등록일: 2018-10-06

235

VIEWS

8

COMMENTED