2020-09-23 14:50 (수)
박성수 카스퍼스키 책임 “위협 인텔리전스, IOC만으론 부족…TTP(전술, 기법, 절차)에 집중”
상태바
박성수 카스퍼스키 책임 “위협 인텔리전스, IOC만으론 부족…TTP(전술, 기법, 절차)에 집중”
  • 길민권 기자
  • 승인 2020.02.13 16:35
이 기사를 공유합니다

"공격자 공격 방식과 테크닉 분석…최종 데이터에 어떻게 접근하는지 모니터링 중요해”
K-CTI 2020에서 박성수 카스퍼스키 책임이 '라자루스' 공격그룹 분석 내용과 위협 인텔리전스에 대해 강연을 진행하고 있다.
K-CTI 2020에서 박성수 카스퍼스키 책임이 '라자루스' 공격그룹 분석 내용과 위협 인텔리전스에 대해 강연을 진행하고 있다.

국내 최대 사이버 위협 인텔리전스 컨퍼런스 K-CTI 2020이 250여 명의 정부, 공공, 기업, 금융 기관 정보보안 실무자들이 대거 참석한 가운데 지난 5일 성황리에 개최됐다.

이 자리에서 박성수 카스퍼스키 책임연구원은 ‘가상화폐 거래소 타깃 라자루스 그룹의 공격 유형 분석’을 주제로 강연을 진행했다.

박성수 책임은 카스퍼스키에서 운영하는 쓰렛 인텔리전스 글로벌 리서치 부서 GReAT팀에서 리서처로 활동하고 있으며 주로 한국을 비롯한 아태지역을 담당하고 있다. 특히 한국어 기반 공격그룹 분석에 초점을 맞춰 분석업무를 하고 있으며 국내 최고의 사이버 공격그룹 분석가로 알려져 있다. GReAT팀은 전세계 140여 개 공격그룹을 추적하고 있다.

2019년 카스퍼스키 APT 공격그룹 조사 보고서에 따르면, 라자루스(Lazarus) 공격그룹이 1위에 랭크돼 있다. 그만큼 활발한 공격 행위를 펼치고 있는 조직이라고 볼 수 있다.

박성수 책임은 K-CTI 2020에서 라자루스 그룹의 주요 캠페인 중 ‘ThreatNeedle’(쓰렛리들)과 ‘AppleJeus’(애플주스)에 대한 그들의 TTP(Tactics, Techniques in Procedures)를 중심으로 상세히 분석 내용을 공개해 참관객들을 집중시켰다.

라자루스 캠페인 분석 내용. 박성수 책임 발표자료.
라자루스 '애플주스' 캠페인 분석 내용. 박성수 책임 발표자료.

그는 “라자루스는 주로 윈도우 서버를 해킹해 사용하고 있으며 지난해 홍콩 가상화폐 거래소 2곳을 공격했고 한국에서도 가상화폐거래소와 관련된 기업을 공격한 바 있다. 그들은 공격타깃이 어떤 인프라를 갖고 있고 어떤 보안수준인지 면밀히 분석하고 정보를 수집한 후 스피어피싱 공격으로 악성코드를 유포해 자신들이 원하는 정보를 탈취하고 목적을 달성한다”고 설명하고 한번에 공격을 진행시키는 것이 아니라 멀티 쓰렛 공격으로 차근차근 내부의 다음 스테이지로 진입해 최종적으로 원하는 정보를 획득한다고 전했다.

박성수 책임의 라자루스 캠페인 상세 내용은 데일리시큐 자료실에서 K-CTI 2020 발표자료를 다운로드해 참고하면 된다.

그는 끝으로 “위협 인텔리전스를 위해서는 공포심이나 다급함을 주의해야 한다. 위협의 본질을 직시하지 못하게 방해하기 때문이다. 그리고 IOC(침해사고지표)도 중요하지만 TTP(전술, 기법, 절차)에 집중해 공격자들의 공격 방식과 변화 그리고 어떤 테크닉을 사용하고 있는지, 최종적으로 그들이 원하는 데이터에 어떻게 접근하는지 모니터링하는 것이 중요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★