사이버 스파이가 또 다른 사이버 스파이를 감시하고, 공격에 이용하기 위해 해킹한 웹사이트를 또 다른 조직이 이용하는 등 사이버 스파이 전쟁이 치열하게 벌어지고 있다. 사자가 사냥한 먹잇감을 빼앗는 하이에나처럼 공격 조직이 오랜 기간 공들여 침투에 성공하면 다른 조직이 몰래 들어와 정보를 약탈한 정황도 발견된다.
카스퍼스키랩이 발표한 보고서에 의하면 사이버 스파이들은 다른 조직이 탈취한 정보를 가로채거나, 다른 조직의 C&C 인프라에 백도어를 설치해 해당 조직이 어떤 공격을 하고 있는지 정찰하기도 한다. 공격에 이용하기 위해 해킹한 웹사이트를 다시 해킹해 다른 공격에 이용하는 조직도 발견된다.
이 중에서는 한국어 기반 웹사이트가 여러 공격에 이용돼 한국, 중국, 러시아 등의 정부, 기업 등의 표적공격에 사용된 정황도 발견됐다. 한국어 기반 웹사이트가 해킹돼 다크호텔(DarkHotel) 공격에 이용당했는데, 이 웹사이트는 ‘스카크러프트(ScarCruft)’라는 또 다른 조직의 익스플로잇 스크립트를 호스팅한 사실이 발견됐다. 스카크러프트는 다크호텔 공격 후 한달 뒤에 공격을 시작했으며, 보고서는 스카크러프트가 다크호텔 공격을 관찰하고 있었을 것으로 밝혔다.
해킹된 시스템서 여러 사이버 조직 침투 증거 발견
다른 조직이 해킹한 시스템에 몰래 숨어들어 정보를 빼앗는 ‘얌체’ 같은 일도 벌어진다. 2014년 마그넷 오브 쓰렛(Magnet of Threats)이라는 중동 소재 연구기관이 보유한 서버에서 영어를 기반으로 한 레진(Regin)·이퀘이션 그룹(Equation Group), 러시아어를 기반으로 한 튤라(Turla)·아이타듀크(ItaDuke), 프랑스어를 기반으로 한 ‘애니멀 팜(Animal Farm)’, 스페인어를 기반으로 한 ‘카레토(Careto)’가 심어놓은 프로그램을 동시에 호스팅한 정황이 발견됐다.
이는 해커가 특정 지역 또는 산업 부문에 확고히 자리 잡은 다른 해킹 조직에 침투, 해당 조직의 전문 지식을 활용함으로써 적은 비용으로 표적형 공격을 효율적으로 이용한 것이라고 보고서는 설명했다.
스파이가 스파이를 감시하는 일도 벌어지고 있다. 2014년 크러칭 예티(Crouching Yeti) 혹은 에너제틱 베어(Energetic Bear)라고 불리는 조직이 사용한 웹사이트에서 러시아어 기반 해킹조직의 흔적이 발견됐다. 이들은 2010년부터 산업 부문을 대상으로 공격을 펼쳐왔다.
카스퍼스키랩 보안 분석 팀인 그레이트(GReAT)는 C&C 네트워크 관리 패널이 잠깐 동안 중국의 원격 IP를 나타내는 태그로 수정됐다는 사실을 확인했는데, 이는 가짜 플래그일 가능성이 높은 것으로 보고 있다. 이는 다른 조직 소유의 백도어 프로그램이라고 보이지만, 그 조직의 정체에 대해 알 수 있는 지표는 없다.
또 다른 정황은 2013년 넷트래블러(NetTraveler)가 사용한 서버를 분석하던 중 발견된 것으로, 아시아의 정치사회 운동가 및 다양한 조직을 대상으로 하는 중국어 기반의 공격이었다.
국가 지원 받는 해킹 조직이 사이버 스파이 활동
보고서에서는 이와 같은 공격 주체는 대개 국가의 지원을 받는 해킹 조직이며, 해외 기반이거나 실력이 뒤처지는 해킹 조직을 대상으로 실행하는 공격이라고 예상하고 있다. 이러한 상황 속에서 IT 보안 연구원은 상황에 맞는 인텔리전스를 제시하기 위해 이 새로운 공격의 징후를 포착하고 해석할 방법을 파악해야한다.
그레이트는 이 유형의 공격에 대한 심층 분석을 통해 수동적 공격과 능동적 공격이라는 두 가지 주요 접근법을 확인했다. 수동적 공격은 다른 해킹 조직에서 전송 중인 데이터를 가로채는 방식이다.
예를 들어 피해자와 C&C(명령 및 제어) 서버 사이에 데이터가 이동할 때를 노려 가로채는 것이다. 이 경우에는 탐지가 거의 불가능하다. 능동적 공격 방식은 다른 해킹 조직의 악성 코드 인프라에 침투하는 방식이다.
능동적 공격 방식을 취하는 해킹 조직은 탐지될 위험이 커지지만 그만큼 이득도 크다. 정기적으로 정보를 손에 넣어 다른 해킹 조직과 그 피해자를 모니터링 할 수 있고, 자체 악성 프로그램을 삽입하거나 피해자의 이름으로 공격을 개시할 수도 있다. 능동적 공격의 성공 여부는 대개 공격 대상이 운영 보안과 관련된 실수를 저지르는지에 따라 달라진다.
이창훈 카스퍼스키랩코리아 지사장은 “최근의 해킹 공격은 단서가 거의 없고 조작도 쉽기 때문에 원인을 밝혀내기 어려운데, 이제는 해킹 조직이 서로 해킹하며 발생한 영향까지 고려해야 하는 상황”이라며 “더 많은 해킹 조직이 서로의 툴킷과 피해자, 인프라를 활용하기도 하고 자체 프로그램을 삽입하거나 피해자의 ID를 사용해 추가 공격을 개시하기도 해 공격자를 추적하는 것은 더 어려워졌다”고 설명했다.
한편 카스퍼스키랩은 위협 인텔리전스와 결합한 보안 플랫폼을 구현할 것을 기업들에게 권고하고 있다. 카스퍼스키랩의 엔터프라이즈 보안 포트폴리오는 차세대 엔드포인트 보안 제품군을 통한 위협 방지 기능과 카스퍼스키 안티 타깃 공격 플랫폼에 기반을 둔 탐지 기능, 위협 인텔리전스 서비스를 통한 예측 및 보안사고 대응 기능을 제공해준다.
