2024-03-05 10:05 (화)
[K-CTI 2023] 이태우 KISA 선임 “국가기반 해킹조직 추적해 TTPs 확보...선제 대응에 활용”
상태바
[K-CTI 2023] 이태우 KISA 선임 “국가기반 해킹조직 추적해 TTPs 확보...선제 대응에 활용”
  • 길민권 기자
  • 승인 2023.02.18 15:39
이 기사를 공유합니다

다양한 악성코드와 공격기법으로 타깃의 모든 정보 수집중
TTPs 활용해 선제적인 방어와 재발방지, 위협 억제 필요해
K-CTI 2023 이태우 선임 강연
K-CTI 2023 이태우 선임 강연

데일리시큐가 주최하는 국내 최대 사이버 위협 인텔리전스 컨퍼런스 K-CTI 2023이 2월 8일 한국과학기술회관 국제회의실에서 500여 명의 정보보호 실무자들이 참석한 가운데 성황리에 개최됐다. 

이 자리에서 한국인터넷진흥원 종합분석팀 이태우 선임은 ‘ScarCruft(스카크루프트) 그룹의 정보 수집 활동(부제: Defend Forward)’을 주제로 강연을 진행했다. 

'디펜드 포워드(Defend Forward)'는 미 국방부에서 사용한 개념이다. 공격적인 사고 방식으로 방어하고, 악의적인 사이버 활동을 초기 단계에서 선제적으로 방해하거나 중지시키며, 적의 비용을 증가시키는 것을 의미한다. 

국가기반 해킹 조직인 ‘스카크루프트’는 카스퍼스키에서 명명한 공격그룹 명이며 멘디언트는 ‘APT37’, 국내 백신기업에서는 ‘금성121’, ‘Red Eyes’, 크라우드스트라이크는 ‘Ricochet Chollima’ 등 다양한 이름으로 불리는 APT 해킹 조직이다. 

스카크루프트 TTP

이 선임은 이번 K-CTI 2023에서 스카크루프트 조직의 공격 방법 및 특징 등 지난 2021년 11월부터 현시점까지 분석한 내용을 상세히 설명하고 이 과정에서 획득한 공격자 TTP를 활용해 어떻게 선제적 방어를 할 수 있는지 방법을 공유했다. 

스카크루프트는 네이버, 카카오, 통일부, 요금문서 등으로 위장한 스피어피싱 메일로 정보수집 대상을 포획하고 특정 악성코드를 유포해 계정탈취, 피해자 PC 실시간 스크린캡쳐, 파일 다운로드, 카카오톡 내용, 모바일 정보 등 타깃의 모든 정보를 수집하는 활동을 해 왔다. 주요 공격 타깃은 한국에 거주하는 탈북민, 기자, 선교사, 관련 기관 관계자 등을 주요 타깃으로 삼았다. 

KISA 종합분석팀은 지난 2021년부터 지금까지 이 조직의 명령제어 과정을 24시간 추적해 왔으며 이들이 어떤 악성코드를 사용하고 국내외 어떤 호스트를 사용했는지, 어떤 대상을 타깃으로 공격했는지, 공격 목적은 무엇인지 등 이들의 전체 TTPs를 확인하는 성과를 만들어냈다. 

이태우 KISA 선임이 스카크루프트 조직 분석 내용에 대해 설명하고 있다.
이태우 KISA 선임이 스카크루프트 조직 분석 내용에 대해 설명하고 있다.

이 선임은 “이 조직은 타깃을 감시하기 위해 Chinotto 악성코드와 다양한 환경에서 동작하는 원격제어 도구를 개발해 활용했고 정상 서비스인 Ably를 악용한 Golang 기반 명령제어 체계까지 구축하고 정보를 수집하고 있었다”며 “이들은 피해자 별로 폴더를 만들어 타깃이 PC와 모바일에서 어떤 활동을 하는지, 어떤 내용의 유튜브를 시청하는지, 어떤 문서를 제작하고 누구와 카카오톡을 하는지 모든 것을 수집하고 있었다. 그 정보들은 이들이 확보한 국내외 호스트에 단계별로 정리되고 있었다”고 말했다. 

이어 “이렇게 확인된 공격자 TTPs를 가지고 선제적 대응으로 위협을 억제하고 공격자의 비용을 증가시켜 나가야 한다”며 “피해 호스트를 차단하고 악성코드를 백신사와 공유해서 차단, 피해자 식별, 추가적인 공격 차단 등으로 재발방지를 할 수 있다”고 공격자 TTPs 활용 방안에 대해 덧붙였다. 

끝으로 이 선임은 악성코드 분석과 침해사고 조사 과정에서도 이러한 디펜드 포워드 과정을 통해 위협을 추적하고 공격자 정보를 수집해 선제적인 방어와 위협 억제를 상시적으로 진행할 수 있는 프로세스를 만들어 가야 한다는 것을 강조했다. 

이번 이태우 선임의 K-CTI 2023 강연자료는 데일리시큐 자료실에서 다운로드 가능하며, 최근 공개된 ‘TTPs $ ScarCruft Tracking Note’ 보고서는 KISA와 데일리시큐 자료실에 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★