지난해 12월 발생한 소니픽처스엔터테인먼트 해킹에 대해 미국 정부가 북한에 의해 일어났다고 발표하며 국제적인 논란을 일으킨 바 있지만, 대부분의 전문가들은 북한의 행위로 단정하는 것은 어려운 일이라고 입을 모은다.
웹센스가 발표한 ‘소니 픽처스 엔터테인먼트 해킹: 영화보다 더 영화같은 이야기’ 보고서에 따르면, 소니의 요청으로 해당 사건을 분석한 결과 “북한의 행위라고 볼 수 있는 많은 연결 고리가 있지만, 이 공격을 북한의 소행으로 규정하는 것은, 불가능하지는 않아도 매우 힘든 일”이라고 밝혔다.
웹센스는 소니로부터 해킹에 사용된 3개의 악성 파일과 3개의 IP 주소를 전달받아 분석했으며, 새로운 4번째 악성 파일 발견했다. 이는 지난해 8월 탐지된 파일로, 옛 소련 연방 국가인 몰도바와 C&C 통신을 진행했다. 몰도바는 2013년 3월 20일 발생한 사이버 대란에서 국내 고객사들이 리다리렉션한 국가이다.
피싱 이메일로 공격 시작됐을 가능성 있어
웹센스 보고서에 따르면 이 공격에 사용된 최초의 멀웨어가 네트워크를 통해 폭넓게 전파되는 서버 메시지 블록(SMB) 웜이었다. 2차 멀웨어에는 백도어뿐만 아니라 마스터 부트 레코드(MBR) 및 하드 드라이브 제거 도구도 포함돼 있었다. 멀웨어 행위자는 데이터를 공개하기 전에 금전적 대가를 원했지만, 동기는 불분명하다.
기술적인 관점에서 보았을 때 공격 킬 체인은 일반적인 감염 시나리오였다. 내부자에게 책임이 있다는 사실을 암시하는 몇몇 보고서를 보면 공격은 다른 수단을 통해 감염됐거나 피싱 이메일에서 시작됐을 가능성이 있다.
하드 코딩된 명령 및 제어(C&C) 서버에 업데이트를 지속해서 전송하는 동안 한 시스템에서 다른 시스템으로 전파하기 위해 인증 정보를 강제 탈취하는 SMB 웜에 감염됐다. 거기에서부터, 백도어, 프록시, 하드 드라이브 제거 도구, MBR 삭제기 등 다양한 도구가 데이터 유출 작업을 수행하고, 하드 드라이브를 지우고, 마스터 부트 레코드(MBR)를 제거하는 등의 작업을 계속 수행했다.
‘평화의 수호자’, 데이터 유출 위해 공격
데이터를 해킹했다고 주장하는 단체 ‘평화의 수호자(Guardians of Peace)’는 금전적 대가를 요구하고 있으며, 앞으로 데이터를 더 공개하겠다는 위협과 함께 지금까지 200GB에 달하는 대량의 기밀 데이터를 공개했다.
어떠한 조직의 방어선을 뚫고 그러한 대량의 기밀 데이터가 유출된 사태를 통해 일종의 경종을 울릴 수 있어야 한다. 자동화된 방식으로 조직 내에 존재하는 데이터를 파악해 위험 등급에 따라 보호하는 것이 매우 중요하다.
해커 조직의 실제 의도는 불분명하다. 초기에는 돈이 목적인 것 같았지만, 소니가 ‘더 인터뷰’라는 영화를 철회해 그들의 요구를 들어주었는가 하는 점은 의문으로 남는다. 소니의 데이터가 그들의 손에 있는 상황에서 공격자가 원하는 또 다른 것이 있을지 의심스럽다. 소니의 데이터는 이미 소니의 손을 떠났고, 현실 세계와 달리 모든 데이터 사본이 반환될 방법은 없다. 책임 규명과 관련, 이 단체가 정말 공격을 했고 다른 희생자가 있을지 확실하지 않다.
단순한 멀웨어·간단한 공격 방식으로 해킹 성공
웹센스는 소니 해킹에 큰 비용이 들지 않았을 것으로 분석한다. 멀웨어는 정교하지 않았고 공격 방식도 그리 복잡하지 않았다. 멀웨어가 자취를 감추기 위해 노력은 것이 없었으며, 코드는 단순해서 크게 애매하지 않았고, 명령과 제어(C&C) 통신은 특이하지 않았다.
일부 멀웨어는 소니를 위해 작성됐다. 공격자는 호스트 이름, 비밀번호 등을 하드 코드로 작성했고, 상당량의 관련 내부 정보가 유출되었던 정찰 단계가 있었다는 사실을 알 수 있다. 도난당한 기밀 데이터의 양으로 판단해 보면 공격자는 한동안 소니 네트워크에서 활동했던 것으로 의심할 수 있다.
멀웨어의 목표는 소니의 데이터를 유출하고 파괴하는 것이었다. 어떤 면에서 이는 데이터 삭제로 포렌식 분석이 더욱 어렵게 되어도 행위 그 자체는 즉각적으로 탐지할 수 있음을 의미한다.
한편 웹센스는 이 분석을 위해 지능형 분류 엔진(ACE)과 쓰렛시커 인텔리전스 클라우드를 이용했다.
