해킹 공격을 실시한 이를 어떻게 잡아야 할까?

범죄 사건이 발생했을 때 가장 중요한 것은 무엇일까? 피해 규모, 원인, 발생 시기, 대응 등 여러가지가 있겠지만, 범죄자가 누구인가가 단연코 중요한 정보일 것이다.

 

그러나 공격자를 알아낸다는 것은 정말 쉽지 않은 일이다. 그러나 쉽지 않은 일이지, 불가능한 일은 아닐 것이다. 어떠한 범죄자도 조금이나마 흔적을 남기기 때문이다. 그럼 우리는 어떻게 해킹 공격자를 잡을 수 있을까?

1. 범죄피해자학

이 문항은 사건 발생 이전에 해두어야 할 것이다. 우리는 사건 발생 시, 당장의 범죄자의 정체는 알지 못할 것이다. 하지만, 적어도 나, 내가 속한 단체에 대해서는 알고 있고, 그렇기에 자신과 자신이 속한 단체에 상세하게 파악하는 것은 정말 중요하다. 우리는 주기적으로 아래의 질문에 답을 할 수 있어야 할 것이다.

 

① 우리가 제공하는 제품 및 서비스는 정확히 무엇인가?

② 고객은 주로 어떤 사람 및 조직인가?

③ 임원진을 비롯한 회사에 원한을 품을 만한 사람이 있는가?

④ 범죄자의 먹잇감이 될만한 유명 인물 혹은 회사의 호재가 있는가?

⑤ 정부 기관과 연계하는 사업이 있는가? 있다면, 무엇인가?

 

물론 정말 우연히 타겟이 되었을 수도 있지만, 분명한 원인이 있는 사건의 발생일 수도 있다. 이 부분을놓치지 않기 위한 과정이라 볼 수 있겠다.

2. 범행 도구

사건 발생 이후 조사를 하다 보면, 공격자들이 사용했을 가능성이 높은 도구들을 발견하게 된다. 뭐 삼성, SK 같은 대기업이면 혹시, 정말 만일의 가능성이 있긴 하겠다만, 보통 국내에서 해킹이 일어난다면, 100이면 99.9는 이미 알려진 공격도구일 것이다. 그렇기에 이미 알려진 것들 중에 공격자들이 사용한 도구를 추론할 수 있을 것이다.

 

① 오픈 소스인가?

② 그게 아니라면, 오픈 소스에서 약간의 변형이 있는 것인가?

③ 그게 아니라면, 공격자가 직접 제작한 것으로 보이는가?

④ 흔히 사용되는 도구처럼 보이는가?

⑤ 업계에서 접하기 힘든 도구로 보이는가?

 

갈수록 기술이 발전함에 따라, 공격자들은 도구의 흔적을 잘 지워내기도 한다. 그리고 한 가지 도구만 이용하는 것이 아닌, 여러 가지의 도구를 이용하는 경우도 부지기수다. 따라서 이 범행도구를 식별하는 것이 핵심적인 정보는 되지 않겠지만, 핵심적인 정보로 다가가게 해주는 단초를 제공해줄 것이다.

3. 범행 기간

APT 공격에서도 알 수 있듯, 공격자 입장에서 가장 좋은 것은 침투를 했음에도 들키지 않고 몰래 지속적인 활동을 벌이는 것이다. 기간이 길어질수록 공격자들에게는 좋은 소식인 것이다. 근데 그런 APT 같은 지속적인, 고도의 공격은 개인 또는 소규모에서 진행하기는 어려운 난이도다. 범행 기간을 두고 우리는 공격자들의 특징을 알 수 있을 것이다. 공격 기간이 길다면 규모가 큰 집단일 수 있고, 짧다면 소규모 혹은 전문적이지는 않은 집단일 수 있으며, 의도적으로 짧게한 것이라면 랜섬웨어 집단일 수도 있을 것이다.

4. 공격 인프라

공격 도구가 다이렉트로 시스템에 쉽게 도달하는 것은 아니다. 반드시 무언가를 거칠 수밖에 없을 것이다. 특히 C&C 기능이 어떤 식으로 수행되는지를 파악하는 것은 정말 중요한 일이다. 이것을 두고 우리는 아래와 같은 질문에 답해 보아야 한다.

 

① 공격 인프라를 대여하는 범죄 사업가들의 것을 임대하여 사용했는가?

② VPS 또는 VPN으로 분류되는 네트워크가 이용됐는가?

③ 정상적인 시스템을 침해하여 봇넷으로 만들었는가?

④ 토르를 비롯한 익명 네트워크가 사용됐는가?

⑥ C&C가 어떤 식으로 가능한가?

 

①번에서 범죄 사업가들의 것을 빌려 사용했다면 골치아픈 일이 될 것이다. 하지만 그게 아니라면, 이는 공격자를 잡는 데에 큰 단서가 될 것이다.

5. 도구와 인프라 구축

위에서 도구, 인프라에 대해 확인했지만, 여기서 더 나아가 이들을 실제로 어떻게 구축하여 활용했는지 알아야 한다. 공격자들이 어떤 절차를 통해, 어떤 기술과 전략을 이용했는지 알아야 한다는 것이다. 이에 대한 결과는 우리를 의도적으로 노린 것인지, 우연히 우리가 얻어 걸린 것인지를 판가름하게 해줄 것이다. 보통은 공격을 당하면 데이터도 빠져나갔을 텐데, 어떠한 데이터가 어떤 과정과 기술을 통해 유출됐는지도 상세히 파악해야 한다. 이것도 공격자들의 의도를 파악하는 데 도움이 된다. 일단 들어가서 후벼파서 돈이 될 것 같은, 중요해 보이는 것 같은 정보를 마구잡이로 빼간 것인지, 그게 아니면 의도적으로 특정 데이터를 지목하여 공격을 실행한 것인지 말이다.

6. 확인 및 결론 도출

위의 과정을 모두 거친 다음 진행해야 할 사항은 다음과 같다.

 

① 획득한 정보는 모두 정확하며, 이를 토대로 내린 각각의 결론도 명확한가?

② 혹여나 놓친 정보는 없는가?

③ 모든 정보를 종합했을 때 조직은 어떤 대상으로 보이는가?

④ 완전히 새로운 특성의 조직인 것으로 보이는가?

 

이것을 토대로 경찰에게 협조를 진행하면 될 것이다. 그런데 여기서 우리가 알아야 할 것은, 우리는 그냥 회사의 직원이지, 경찰이 아니라는 점이다. 정확히는 우리는 문지기 혹은 관리자 같은 사람이지, 범죄자를 잡는 데 특화된 사람은 아니다. 그렇기에 경찰의 조사 중에 우리가 경찰에게 추가로 제공해야 할 정보가 분명 더 있을 것이다. 따라서 이에 대한 긴밀한 협조를 필수적이다.

 

출처: https://m.boannews.com/html/detail.html?tab_type=1&idx=129473