[데이터넷] 아시아 국가의 정부, 외교, 군사 기관을 대상으로 6년간 활동해 온 사이버 스파이 공격이 발견됐다. 카스퍼스키랩에 따르면 이 공격은 사이버 스파이 범죄 조직 ‘플래티넘’이 배후에 있는 것으로 분석되며, 스테가노그라피를 이용해 공격 활동을 숨겨온 것으로 보인다.
스테가노그라피는 데이터를 인코딩해 사이버 스파이 활동을 숨기고 오랜 기간 의심 받지 않으면서 감염된 시스템에 머무를 수 있다. 플래티넘은 오랫동안 이 공격 기법을 사용해 동남아시아 국가를 대상으로 사이버 스파이 활동을 벌여왔다.
플래티넘은 2017년까지 활동했으며, 최근 웹사이트의 HTML 코드에 악성코드 명령을 숨기는 새로운 공격 방식이 카스퍼스키랩에 의해 발견됐다. HTML 코드에서 탭 키와 스페이스바 키는 실제 웹사이트에서 적용되지 않기 때문에 공격자는 이 두 키를 사용한 특정 시퀀스를 사용해서 명령을 인코딩했다. 덕분에 네트워크 트래픽에서 명령을 탐지하는 것이 거의 불가능했다. 악성코드가 수상하지 않은 웹사이트에 접근했을 뿐이고 전체 트래픽에서도 별다른 징후가 탐지되지 않았기 때문이다.
이 악성코드를 탐지하기 위해 카스퍼스키는 기기에 파일을 업로드하는 프로그램을 확인했고, 검사한 프로그램 가운데 하나가 비정상적으로 작동하는 것이 발견되었다. 예를 들어 공용 클라우드 서비스 드롭박스에 관리자용으로 액세스하는가 하면 특정 시간대에만 작동하도록 프로그래밍 되어 있었다. 나중에 정상적인 업무 시간 중에 실행되는 다양한 프로세스 가운데 악성코드 활동을 감추기 위한 목적이었다는 사실이 밝혀졌다. 덕분에 탐지되지 않았지만 사실 다운로더는 감염된 기기에서 데이터를 빼내거나 업로드하고 있었던 것이다.
정교한 사이버 스파이 공격을 방어하기 위해서는 악성일 가능성이 있는 애플리케이션이나 파일을 식별할 수 있는 보안 인식 교육을 실시해야 한다. 이를 통해 신뢰할 수 없거나 알 수 없는 소스에서는 앱이나 프로그램을 다운로드하여 실행하지 않아야 한다는 기본적인 원칙을 알려줄 수 있다.
엔드포인트 수준의 탐지, 조사 및 시의 적절한 치료를 위해 ‘카스퍼스키 EDR’과 같은 보안 솔루션을 도입하는 것이 바람직하며, 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 ‘카스퍼스키 타깃 공격 방어 플랫폼(Kaspersky Anti Targeted Attack Platform)’을 도입하는 것도 좋다. 더불어 SOC 팀에 최신 위협 인텔리전스에 대한 접근 권한을 제공하여 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 업데이트할 수 있도록 지원한다.
