2024-03-29 00:55 (금)
평창 동계올림픽 타깃 'OlympicDestroyer' 악성코드의 정교한 위장 전술
상태바
평창 동계올림픽 타깃 'OlympicDestroyer' 악성코드의 정교한 위장 전술
  • 길민권 기자
  • 승인 2018.03.16 17:10
이 기사를 공유합니다

분석 팀이 확실한 증거 찾은 것으로 착각하게 만들어 더욱 정확한 추적 방해해

k-2-1.jpg
카스퍼스키랩 글로벌 위협 정보 분석 팀은 OlympicDestroyer 악성 코드 공격에 대한 자체 연구 결과를 발표했다. 공격의 실제 근원지를 추적하지 못하도록 악성 코드 제작자가 웜바이러스에 심어놓은 정교한 위장 표식에 대한 기술적 증거를 제시한 것이다.

이번 평창 동계 올림픽의 화제 중 하나는 OlympicDestroyer 웜바이러스였다. 올림픽 공식 개막식 전, IT 시스템이 사이버 공격을 받아 일시적으로 마비되어 화면과 와이파이가 꺼지고, 올림픽 웹사이트가 마비되어 사용자들이 티켓을 인쇄하지 못하는 사태가 발생했다.

카스퍼스키랩은 대한민국에 위치한 몇몇 스키 리조트 또한 이 웜바이러스의 공격을 받아 리조트 내 스키 게이트와 스키 리프트 작동이 중단되기도 했음을 밝혀냈다. 다행히 이 악성 코드가 실제로 큰 피해를 입힌 것은 아니지만 치명적인 영향을 미칠 위력을 가지고 있다는 사실은 명백했다.

하지만 현재 사이버 보안업계의 가장 큰 관심은 OlympicDestroyer의 잠재력이나 공격으로 인한 실제 피해가 아니라 악성 코드의 근원지에 있다.

OlympicDestroyer는 아마도 공격 배후에 대한 추측과 가설이 가장 분분한 악성 코드일 것이다. 악성 코드 발견 후 전 세계의 여러 분석 팀에서 OlympicDestroyer를 추적한 결과 며칠이 지나지 않아 러시아, 중국, 북한이 배후로 지목되었다. 그 근거로는 해당 국가 기반이거나 이들 국가 기관에 고용된 것으로 알려진 사이버 스파이, 사보타주 공격 조직에서 보여주는 특징과 OlympicDestroyer의 몇몇 특징이 일치한다는 점이었다.

ka-1.jpg
카스퍼스키랩 또한 OlympicDestroyer의 배후 집단에 대해 밝혀내고자 했다. 그러던 중 북한이 연계된 악명 높은 국가 지원 해킹 집단인 라자루스(Lazarus)와 OlympicDestroyer가 연관이 있다는 확실한 증거를 발견했다.

이 결론은 공격자들이 남긴 고유한 흔적에 기반한 것이다. 파일에 저장된 코드 개발 환경의 일부 특징 조합을 ‘지문’처럼 활용하는 방식인데, 일부 사례에서 악성 코드의 개발자와 프로젝트를 식별할 수 있었다.

카스퍼스키랩이 분석한 샘플의 지문은 이미 알려진 라자루스 악성 코드 요소와 100% 일치율을 보였으며, 카스퍼스키랩의 데이터베이스에 있는 다른 클린 파일이나 악성 파일과는 일치하는 부분이 없었다. 전략, 기법, 기술 (TTP)의 유사성과 더불어 이 지문을 증거로 연구 팀은 OlympicDestroyer가 라자루스의 활동이라고 일차적으로 결론을 내렸다.

하지만 카스퍼스키랩이 OlympicDestroyer에 감염된 다른 시설을 직접 조사한 결과, 라자루스의 TTP나 동기와 다른 점이 있다는 사실을 파악했고, 연구 팀은 OlympicDestroyer의 증거 자료를 다시 분석하기로 결정했다.

신중한 2차 분석과 각 특징의 수동 검증을 거친 결과, 연구 팀은 라자루스가 사용하는 지문과 완벽히 일치하도록 위조되었으나 코드와 일치하지 않는 특징을 몇 가지 발견했다.

이에 따라 연구 팀은 처음에 발견된 '지문'은 개발자가 의도적으로 악성 코드 내에 심어둔 위장 지문이라는 결론을 내렸다. 분석 팀이 확실한 증거를 찾은 것으로 착각하게 만들어 더욱 정확한 추적을 방해하는 것이 이 위장 지문의 목적이다.

박성수 카스퍼스키랩 GReAT팀 책임연구원은 “우리가 아는 한 카스퍼스키랩에서 찾아낸 증거는 이전에 추적에 사용된 적이 없다. 하지만 공격자들은 누군가는 찾아낼 것이라고 예측하고 한 발 앞서 이 점을 이용한 것이다. 아마 이러한 증거가 위조되었다는 사실을 증명하기 어렵다는 점을 노렸을 것"이라며 "마치 범죄자가 다른 사람의 DNA를 훔쳐서 현장에 자신의 DNA 대신 남겨놓은 것과 같다. 범죄 현장에서 발견된 DNA가 고의로 그 자리에 남겨진 것이라는 사실을 밝혀내고 입증하는 것은 수사 기관, 즉 우리의 몫이다. 이번 사례를 통해 공격자들이 노출과 추적을 피하기 위해서라면 기꺼이 시간과 노력을 들인다는 점을 알 수 있다. 카스퍼스키랩은 항상 사이버 범죄의 증거나 흔적이 상당 부분 위조될 수 있기 때문에 사이버 공간에서의 추적은 어려운 일이라고 지적해왔으며 OlympicDestroyer는 이러한 주장을 정확하게 뒷받침하는 사례다”라고 말했다.

또 그는 “이번 사건의 또 다른 교훈이 있다면 공격 배후 추적은 아주 신중하게 진행해야 한다는 점이다. 사이버 공간이 최근 얼마나 정치적으로 변했는지 생각하면, 잘못된 추적은 심각한 결과를 가져올 수 있으며, 누군가가 국가/정치적 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작하려고 할 수도 있기 때문이다”라고 덧붙였다.

OlympicDestroyer는 아주 복잡한 위장 전술이 구현된 특수한 사례이기에 정확한 배후는 아직 밝혀지지 않았다. 하지만 카스퍼스키랩의 연구 팀은 공격자들이 비트코인을 통해 개인정보보호 서비스인 NordVPN과 호스팅 업체 MonoVM를 활용했다는 사실을 밝혀냈다. 이들 업체와 더불어 추가적으로 발견된 TTP는 러시아어 기반 조직인 Sofacy가 이전에 사용한 것으로 알려진 바 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★