사이버위협 정보 공유를 위해 개최된 데일리시큐 주최 대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2018에서 문종현 이스트시큐리티 이사는 '정부지원 추정 해커의 APT 공격 사례 연구'를 주제로 강연을 진행해 큰 관심을 끌었다. 그는 국내 몇 되지 않는 사이버위협 인텔리전스 전문가 중 한 명이다.
문종현 이사는 이날 자신이 오랜 기간 추적해 온 특정 정부가 지원하는 해커의 공격 방식과 특징에 대해 상세히 설명해 나갔다. 재미있는 첩보영화를 보고 있는 착각이 들 정도로 문이사의 공격자 추적방식은 흥미로웠고 악성코드 계열분류 위주에서 벗어나 새로움을 더하는 자리였다.
최근 미국은 북한 해커의 실명과 나이를 공개하며 해커그룹의 조직원인 그를 기소한 바 있다. 어떻게 공격자를 특정해 기소할 수 있었을까. 한국은 아직 사이버테러를 당해도 특정 공격자를 지목해 수배한 적은 없다. 그만큼 공격자를 특정 짖기는 힘든 사안이다.
문종현 이사는 전세계적으로 수십억 명이 사용하는 페이스북에서 활동하는 특정인을 추적하기 시작했다. 그의 얼굴 이미지와 배경화면, 활동사항, 친구들, 그룹결성 등 SNS에서 그들의 활동을 디테일하게 추적해 나갔다.
문 이사는 "그들은 페이스북을 통해 타깃에 접근하고 그룹을 만들어 특정 정보들을 공유하는 척하면서 이후 타깃들에게 악성앱이나 악성문서를 보내 감염시키고 스마트폰이나 PC를 장악하고 있다"고 설명했다.
그는 공격자들의 무심코 혹은 실수로 사용하는 언어에 초점을 맞추고 있다. 한국식 맞춤법이 아닌 그들만이 사용하는 단어와 맞춤법을 페이스북이나 카카오톡 메신저 내용 그리고 작성된 문서를 통해 보여주고 그들이 어떤 정부가 지원하는 조직인지 추적해 나갔다.
문 이사는 "그들이 타깃에 보낸 안드로이드 악성앱이나 악성문서를 사용하고 열어보는 순간 폰과 PC는 해커에게 장악된다. 모든 정보를 빼내갈 수 있고 감시할 수 있다. 페이스북 뿐만 아니라 한국인 대부분이 사용하고 있는 카카오톡으로도 이런 공격들을 계속해서 해 오고 있다. 특히 휴대폰을 장악하기 위해 삼성스마트폰을 연구하고 있고 스피어피싱을 통해 관심을 끌만한 문서와 영상을 보내 악성코드 감염을 유도하고 있다. 페이스북에서 활동하는 그들이 유포하고 있는 악성코드를 분석해 보면 거의 같은 악성코드들이다"라고 말했다.
문 이사는 "정치적으로는 평화 분위기가 조성되고 있지만 사이버공격은 계속될 것이라고 생각한다. 지난번에도 그랬기 때문이다. 그들은 새로운 공격방법을 개발해 내고 있으며 제로데이나 메일을 열기만해도 감염되는 방식의 공격 등 한글 문서 뿐만 아니라 워드문서를 활용해서도 전방위적으로 공격을 진행하고 있다. 다양한 분석회피 방식도 개발해 사용하고 있다. 그들의 은밀한 공격을 탐지하고 대응하기 위해서는 각분야 전문가들의 인텔리전스 정보를 공유하고 공동대응 해야 한다"고 강조했다.
★정보보안 대표 미디어 데일리시큐!★