Kaspersky Lab Korea | 새소식

새소식 리스트

새로운 기법과 함께 더욱 강력해진 모습으로 돌아온 ‘플래티넘’ 사이버 스파이 조직
 
남아시아 지역의 정부, 외교, 군사 기관으로부터 정보를 탈취하기 위한 목적으로 시행된 고도의 사이버 스파이 공격이 카스퍼스키에 발견되었다. 이 공격은 무려 6년 가까이 진행되었으며 이 지역에서 최근에 발견된 다른 공격과도 연관이 있었다. 공격에 사용된 도구와 방법에 대해 조사한 결과 사라진 것으로 간주되었던 사이버 스파이 조직 '플래티넘'이 공격의 배후로 지목되었다. 그토록 오랫동안 공격이 발견되지 않았던 이유는 정보의 존재 자체를 은닉할 수 있는 스테가노그라피 기법을 사용하여 정보를 인코딩했기 때문이었다.

그동안 스테가노그라피의 위험에 대해 많은 보안 전문가들이 경고했다. 스테가노그라피는 데이터가 전송되고 있다는 사실 자체를 감출 수 있는 형식으로 정보를 숨겨서 보내는 기법이며, 데이터를 암호화하는 방법과는 다르다. 스테가노그라피를 사용하면 사이버 스파이 공격자가 오랜 기간 의심 받지 않고 감염된 시스템에 머무를 수 있다. 과거 남아시아 및 동남아시아 지역의 정부 및 관련 기관을 노렸던 사이버 해킹 조직 ‘플래티넘’이 이 기법을 사용했다. ‘플래티넘’은 2017년을 마지막으로 지금까지 활동 흔적이 보고되지 않았다.

이번에 새롭게 발견된 ‘플래티넘’ 공격의 경우 악성코드 명령이 웹사이트의 HTML 코드에 숨겨져 있었다. HTML 코드에서 탭 키와 스페이스바 키는 실제 웹사이트에서 적용되지 않기 때문에 공격자는 이 두 키를 사용한 특정 시퀀스를 사용해서 명령을 인코딩했다. 덕분에 네트워크 트래픽에서 명령을 탐지하는 것이 거의 불가능했다. 악성코드가 수상하지 않은 웹사이트에 접근했을 뿐이고 전체 트래픽에서도 별다른 징후가 탐지되지 않았기 때문이다.

이 악성코드를 탐지하기 위해 카스퍼스키는 기기에 파일을 업로드하는 프로그램을 확인했고, 검사한 프로그램 가운데 하나가 비정상적으로 작동하는 것이 발견되었다. 예를 들어 공용 클라우드 서비스 드롭박스에 관리자용으로 액세스하는가 하면 특정 시간대에만 작동하도록 프로그래밍 되어 있었다. 나중에 정상적인 업무 시간 중에 실행되는 다양한 프로세스 가운데 악성코드 활동을 감추기 위한 목적이었다는 사실이 밝혀졌다. 덕분에 탐지되지 않았지만 사실 다운로더는 감염된 기기에서 데이터를 빼내거나 업로드하고 있었던 것이다.

카스퍼스키코리아의 이창훈 지사장(www.kaspersky.co.kr)은 "‘플래티넘’의 공격 기법은 더욱 발전하고 정교하게 다듬어졌습니다. 이 공격에 사용된 악성코드도 마찬가지입니다. 스테파노그라피 기법뿐 아니라 오랜 기간 동안 탐지되지 않고 시스템을 감염시키며 공격을 전개할 수 있는 다양한 기능을 갖추고 있습니다. 예를 들어 명령 센터에서 오는 명령만 전송하는 것이 아니라 감염된 기기에서 다른 기기로의 전송도 가능합니다. 이 방법으로 감염된 기기와 인터넷으로 연결되지는 않았지만 동일한 인프라에 속한 다른 기기에도 명령을 전송할 수 있었습니다. ‘플래티넘’ 같은 공격자가 스테가노그라피를 사용한다는 것을 통해 APT 공격 기법이 크게 진화하여 앞으로 탐지하기 더욱 어려울 것이라고 예상할 수 있습니다. 보안업체는 보안 솔루션 개발 시 이 점을 반드시 명심해야 할 것입니다."라고 이야기했다.

카스퍼스키는 정교한 사이버 스파이 공격의 피해자가 될 위험을 줄이기 위해 다음과 같은 조치를 취할 것을 권고하고 있다.
• 직원들에게 악성일 가능성이 있는 애플리케이션이나 파일을 식별하고 피하는 법을 알려주는 보안 인식 교육을 실시한다. 이러한 교육을 통해 신뢰할 수 없거나 알 수 없는 소스에서는 앱이나 프로그램을 다운로드하여 실행하지 않아야 한다는 기본적인 원칙을 알려줄 수 있다.
• 엔드포인트 수준의 탐지, 조사 및 시의 적절한 치료를 위해 Kaspersky Endpoint Detection and Response와 같은 EDR 솔루션을 구축한다.
• 필수적인 엔드포인트 보호를 적용하는 것 외에도 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 Kaspersky Anti Targeted Attack Platform과 같은 비즈니스용 보안 솔루션을 구축한다.

• SOC 팀에 최신 위협 인텔리전스에 대한 접근 권한을 제공하여 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 업데이트할 수 있도록 지원한다.

보고서 전문은 Securelist.com에서 확인할 수 있다.

카스퍼스키 소개
1997년 설립된 글로벌 사이버 보안 전문 회사 카스퍼스키는 심층적인 보안 위협 인텔리전스와 보안 전문 지식을 바탕으로 전 세계 각지의 기업, 기간 산업 인프라, 정부 및 개인 소비자에게 혁신적인 보안 솔루션과 서비스를 제공하고 있습니다. 카스퍼스키는 세계 최고 수준의 엔드포인트 보호 솔루션부터 다양한 특수 분야 전용 보안 솔루션 및 서비스까지 광범위한 제품 포트폴리오를 갖추고서 갈수록 정교해지는 디지털 위협에 맞서 싸우고 있습니다. 전 세계적으로 카스퍼스키의 기술을 통해 보호를 받는 사용자 수는 4억 명 이상이며, 27만 곳의 기업 고객이 카스퍼스키의 보안 서비스와 솔루션을 이용하고 있습니다.
자세한 내용은 www.kaspersky.com을 참조하십시오.