해킹조직이 추적을 피하기 위해 가짜 타임스탬프와 문자열, 존재하지 않는 단체로 가장하며 보안 분석가를 혼란에 빠트리는 것으로 드러났다.
카스퍼스키랩은 바이러스 블러틴에서 해킹 조직이 자주 사용하는 위장 전술을 소개했다. 해킹조직은 분석과 추적을 피하려고 악성코드 파일 컴파일 시간을 나타내는 타임 스탬프를 조작한다. 악성코드 샘플이 수집되면 타임스탬프를 이용해 개발자 업무 시간을 특정할 수 있다. 공격자는 타임 스탬프를 변경해 시간대에 혼란을 준다.
악성코드 파일에는 코드를 작성한 개발자 흔적을 남기는 문자열과 디버그 경로가 포함된 경우가 많다. 가장 확실한 단서는 사용한 언어와 능숙한 구사 능력이다. 디버그 경로나 사용자 이름, 프로젝트명 등에 대한 단서가 들어 있다. 하지만, 이런 흔적도 조작한다. 클라우드 아틀라스라는 해킹 조직이 만든 악성코드에는 가짜 언어 단서가 들어있었다. 블랙베리 버전에는 아랍 문자열이, 안드로이드 버전에는 힌두 문자열을 썼다. 실제 해당 해커 집단은 동유럽과 관련된 것으로 분석됐다.
공격자는 명령&제어(C&C) 등 해킹 인프라를 조작하기도 한다. 공격자가 사용한 C&C 서버를 알아내면 범인 집주소를 찾는 것과 같다. C&C 인프라는 비용이 많이 들고 유지가 어렵다. 자금이 넉넉한 해커 조직도 C&C나 피싱 인프라는 재사용한다. 유출 서버나 이메일 서버에서 데이터를 회수할 때 범인의 정체를 파악할 수 있다. 공격자는 추적을 피하려고 다른 IP주소를 사용해 분석가를 현혹시킨다.
특정 악성코드군 역시 해킹 조직 정체를 알아내는 단서다. 툴라(Turla)라는 해킹 조직은 감염된 시스템 내부에서 궁지에 몰리자 자체 악성코드를 철수하는 대신 희귀한 중국 악성코드 일부를 심었다. 이 악성코드는 베이징에 위치한 인프라와 연결됐다. 툴라라는 아무 관련이 없었다. 피해자가 미끼로 던져진 중국 악성코드를 추적하는 사이 툴라는 자체 악성코드를 제거하고 피해 시스템에서 흔적을 지웠다.
일부 해킹 조직은 없는 단체를 만들어 핵티비스트 단체로 위장한다. 2014년 소니 픽처스를 공격한 그룹은 `평화의 수호자(Guardians of Peace)`를 내세웠다. 다른 해커조직에게 책임을 떠넘기는 작전도 있다. 타이거밀크란 조직은 과거 스턱스넷에서 사용한 인증서를 도용해 자신들이 만든 백도어에 서명했다.
이창훈 카스퍼스키랩코리아 대표는 “표적 공격 배후를 추적하는 건 복잡하고 주관적인 일”이라면서 “해킹조직은 분석가가 확보하려는 단서를 조작해 혼란을 준다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
