본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

전 세계적으로 매일 수 억 건의 악성코드 감염이 발생하고 있고 웹사이트 해킹은 아주 흔하게 일어납니다.
많은 공격량 덕분에 대부분의 사이버 공격자들은 추적 조차 받지 않으며 신분도 노출되지 않은 채 활동을 계속하고 있습니다


사이버 공격은 이처럼 누가 공격했는지 알기가 힘들고, 현실세계에도 큰 영향을 줄 수 있기 때문에 몇몇 국가들마저도 은밀하게 사이버 공격과 관련한 정부차원의 활동들을 하는 것으로 알려지고 있습니다.


국가가 주도하거나 국가차원의 지원을 받는 사이버 공격을 ‘정부지원공격’ 이라고 하는데, 지금까지 정부차원의 개입이 의심되었던 사이버 공격에서 공격기관이 밝혀지거나 특정 국가가 공격사실을 인정한 적은 없습니다.


때문에 정부지원공격을 스파이소설에나 나올법한 말로 여길 수도 있지만, 여러 보안전문가와 연구소들은 이미 몇 가지 사이버공격 사건들의 배후를 정부나 정부의 지원을 받는 조직인 것으로 판단하고 있어 정부지원 공격의 실재를 가늠케 하고 있습니다.


지금까지 정부지원 공격임이 가장 크게 의심되었던 사례는 스턱스넷, 듀쿠, 최근에 발견된 플레임 등 주로 중동지역 국가를 겨냥했던 악성코드건 들입니다.


특히 핵발전소의 스카다 시스템을 마비시키는 것을 목표로 했던 ‘스턱스넷’과 65,000 줄에 해당하는 복잡한 소스코드를 가지며 다양한 방식의 정보수집행위를 실행했음에도 수년 간 탐지되지 않았던 ‘플레임’은 국가규모의 지원을 받아 제작된 악성코드일 것이라는 의심을 강하게 받고 있습니다.


수 년간 발견되지 않았던 MS의 터미널서비스 신규 취약점을 이용해서 플레임 악성코드를 MS가 서명한 파일처럼 보이도록 한 것 역시 정부차원의 지원이 있었음을 더욱 의심케 하는데, 이렇게 알려지지 않은 기법들을 다양하게 확보하고 사용하려면 상당한 정보와 연구자원이 필요하기 때문입니다.
최근 워싱턴포스트에서는 당국자의 발언을 근거로 이 공격이 미국과 이스라엘에 의해 실행되었다는 기사를 특필하기도 했습니다.


국가 차원의 대규모 자원이 동원된 공격이 큰 위협으로 인식되자, 구글은 최근 자사의 소프트웨어에 최초의 State-Sponsored Attacks 알림 기능을 추가하기도 했습니다.


사용자가 공격을 받았을 때 해당공격이 어떠한 정부조직으로부터 받은 공격일 가능성이 있다면 이를 알려준다고 합니다.
구글은 그러나 탐지를 회피하는데 쓸 수 있는 정보를 공격자에게 주지 않기 위해서, 어떤 방법으로 정부지원공격임을 알아내는지는 공개를 하지 않았다고 하는군요.
아마도 국가지원공격으로 알려진 다른 공격과의 유사성, 해당공격을 받은 Victim 그룹의 공통점, 그들의 직업과 같은 정보를 분석해서 국가지원 공격일 가능성을 파악할 것으로 예상되지만, 그 외의 다른 고급정보를 활용하고 있을지도 모릅니다.


중요한 것은 정부지원 공격의 가능성에 대한 측정 가능한 근거들이 사용되기 시작했다는 점입니다.


전 세계적인 보고를 종합해볼 때 정부 지원 공격은 군사/정치적인 다양한 목적에 의해 실행될 가능성이 충분하고 악성코드, 정보탈취, APT, 데이터 파괴 등 다양한 방식의 공격에서 간접적으로 정부지원공격임이 의심되는 케이스도 많습니다.


꼭 기억할 것은 정부지원 공격이 평범한 일반 사용자의 PC로도 파고든다는 것인데, 불특정 다수의 시스템을 확보하면 그 안에 포함된 소수의 중요 시스템이 확보되기 때문입니다.
이러한 공격에는 최종목적을 달성하기 위해 공격자의 의도를 실현하는 프로그램(악성코드)을 설치하는 단계가 반드시 포함됩니다.


악성코드감염은 정부지원공격 의심사례의 대부분에서 빠지지 않는 과정이었으므로 평상 시 출처가 불분명한 프로그램을 설치하지 말고 백신을 사용하는 습관을 가져, 개인 스스로가 정부지원 공격의 피해자가 되지 않도록 잘 예방해야 합니다.