보안의 눈 속이는 해커들의 '위장 전술'

가짜 악성코드, 흔적 등 남기는 수법 발달
다른 해킹 조직에게 혐의 떠넘기는 방식도 사용돼

[아시아경제 이민우 기자] 해킹 조직의 위장술이 더욱 발전하고 있어 추적에 어려움을 겪고 있다.

카스퍼스키랩코리아는 카스퍼스키랩 연구원 브라이언 바톨로메우(Brian Bartholomew)와 후안 안드레스 게레로(Juan-Andres Guerrero-Sade)가 이 같은 내용을 담은 논문을 발표했다고 7일 전했다. 이들의 연구에 따르면 표적 공격을 벌이는 해킹 조직은 악성코드의 컴파일 시간, 언어 문자열 등을 조작하는 한편 존재하지 않는 단체로 가장하기도 하는 등 다양한 위장 전술을 사용하며 추적을 따돌리고 있는 것으로 나타났다.

그 밖에도 자신과 관련 없는 악성코드를 심어 가장하는 기술이 활용됐다. 해킹조직 툴라(Turla)는 추적을 당하자 유포한 악성 코드를 철수시키는 대신 희귀한 중국 악성 코드의 일부를 심어놓았다. 이 악성 코드는 툴라와 아무 관련이 없는 베이징과 연결돼있었다. 피해자 측 대응팀에서 이 미끼 악성 코드를 추적하는 사이, Turla는 자신의 악성 코드를 제거하고 피해자의 시스템에서 자신의 흔적을 전부 삭제다.

다른 해커 조직에게 책임을 떠넘기는 수법도 사용됐다. 지금까지 추적당한 적 없는 타이거밀크(TigerMilk)란 해킹 조직에서 사용한 방법이다. 과거에 다른 조직이 사용한 인증서를 자신들의 프로그램에 사용한 것이다.

이창훈 카스퍼스키랩코리아 지사장은 "표적 공격의 배후를 추적하는 일은 매우 복잡하고 주관적이며, 해킹 조직은 갈수록 조사원들이 확보하려는 단서들을 조작하며 혼란에 빠트린다"며 "'범인이 누구인가'하는 의문보다는 좀 더 심층적이고 측정할 수 있는 데이터 중심으로 운영하는 보안 인텔리전스가 필요하다"고 말했다.

이민우 기자 letzwin@asiae.co.kr