협박, 비밀스러운 계획, 방해 공작, 드라마, 정치, 스릴러, 인질극 등 한 편의 영화 시나리오 “같은 이야기가 사이버 공간에서 펼쳐진 것이 소니 픽처스 엔터테인먼트(SPE) 해킹이다.”
웹센스는 소니픽처스 해킹 분석 결과를 발표하며 이같이 밝히며 “앞으로 이와 같은 타깃 공격을 자주 접하게 될 것”이라고 설명했다.
웹센스 연구소가 분석한 바에 따르면 이번 해킹 공격은 내부자 PC에 악성코드가 다운로드 됐으며, 이메일을 이용한 스피어피싱 공격을 당한 것으로 알려진다.
악성코드를 통해 하드 코딩된 명령 및 제어(C&C) 서버에 업데이트를 지속적으로 전송하는 동안 한 시스템에서 다른 시스템으로 전파하기 위해 인증 정보를 강제 탈취하는 서버 메시지 블록(SMB) 웜에 감염됐다. 여기에서 백도어, 프록시, 하드 드라이브 제거 도구, MBR 삭제 등 다양한 도구가 작동되면서 데이터 유출, 하드 드라이브 삭제, MBR 삭제 등의 공격이 진행됐다.
‘평화의 수호자(Guardians of Peace)’라는 공격단체는 금전을 요구하고 있으며, 앞으로 데이터를 더 공개하겠다는 위협과 함께 지금까지 200GB에 달하는 대량의 기밀 데이터를 공개했다.
공격에 이용된 악성코드는 스턱스넷 종류는 아니며, 이 공격을 위해 제작된 타깃 멀웨어이지만, 전체 공격을 진행하는데 큰 비용은 들지 않았을 것으로 분석됐다. 웹센스 연구소는 “멀웨어는 보안장비 우회 기능을 거의 갖지 않았다. 코드는 단순했으며, C&C 통신은 그다지 특이하지 않았다”고 설명했다.
공격자는 호스트 이름, 비밀번호 등을 하드 코드로 작성했으며, 본격적인 공격이 진행되기 전 상당량의 관련 내부 정보가 유출된 정찰 단계가 있었던 것으로 분석된다. 도난당한 기밀 데이터의 양으로 판단해 보면 공격자는 한동안 소니 네트워크에서 활동했던 것으로 유추해 볼 수 있다.
멀웨어의 목표는 데이터를 유출하고 파괴하는 것이었지만, 데이터 삭제로 포렌식 분석이 더욱 어렵게 돼도 행위 그 자체는 즉각적으로 탐지할 수 있었다.
웹센스연구소는 나아가 공격단체의 실제 의도에 대한 의심을 제기하며 “초기에는 돈이 목적인 것 같지만, 소니가 ‘더 인터뷰’라는 영화를 철회하면서 그들의 요구를 들어주었는지 의문이다. 소니의 데이터가 공격자의 손에 있는 상황에서 공격자는 또 다른 어떤 것을 원하는 것인가. 이 단체가 정말 공격을 했고 다른 희생자가 있을까”라고 반문했다.
이어 웹센스연구소는 “모든 상황은 탐지를 피하려고 적절히 통제하고 기본적인 목표를 달성했기 때문에 공격자에게 유리하게 돌아갔닫고 할 수 있다”며 “이 공격이 마지막 사이버 공격은 아닐 것이 분명하다. 자동화된 데이터 분류와 보호에 집중하고 킬 체인의 모든 단계에서 항상 경계하면서 보안 침해 흔적 지표(IoC)를 파악해 앞으로 데이터 유출에 이용되지 않도록 해야 한다”고 경조했다.
