보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

막 활동 시작한 새내기 해커들, 자랑을 얼마나 하느냐가 관건이다

입력 : 2023-01-30 15:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
해커들의 특성 중 ‘자랑’이 행동의 원천이 된다는 건 널리 알려진 사실이다. 최근 두 대학 연구원들이 이 사실을 다시 한 번 통계적으로 확인하는 데 성공했다.

[보안뉴스 문가용 기자] 악의를 가지고 침투한 공격자들이 미래에도 지속적인 위협으로 남아 있을 것인지, 아니면 금방 퇴치가 가능한 위협인지 구분할 수 있는 방법이 개발됐다. 이것만 정확하게 구분하더라도 네트워크를 자꾸만 찔러보는 각종 해커들의 움직임에 보다 효과적으로 대처할 수 있게 된다고 한다.

[이미지 = utoimage]


사우스캐롤라이나대학의 부교수인 크리스천 하웰(Christian Howell)과 조지아주립대학의 교수인 데이비드 메이몬(David Maimon)은 지난 1년 동안 웹사이트 변조 공격을 진행했던 해커들 241명을 추적했다. 과거 여러 수사나 조사 활동을 통해 발견되지 않은 해커들로, 해킹 씬에 처음 발을 들여놓은 자들로 추정된다고 한다.

“웹사이트 변조 공격과 관련된 소식을 공격자들끼리 나누는 공간이 있습니다. 존에이치(Zone-H)라고 하고, 이곳의 활동 이력을 조사하면 어느 정도 공격자들의 과거에 대해 알 수 있게 됩니다. 변조 공격에 성공한 자들이 해당 사실을 사이트에 올리면 관리자들이 이를 확인한 후 공개합니다. 그러면 모든 사람이 변조 공격 사실을 알 수 있게 되죠. 현재 존에이치에 등록된 공격은 1천 5백만 건 됩니다.”

두 연구원들은 새내기로 보이는 241명을 52주 동안 추적했다. 사이버 범죄자들의 주요한 특성 중 하나는 여러 범죄 플랫폼에서 같거나 유사한 ID로 활동을 한다는 것이다. 그렇게 해야 명성을 쌓기에 유리하기 때문이다. 그렇기에 이 241명의 온라인 활동 내역을 추적하는 게 용이했다고 한다. 이들은 다크웹이나 범죄 포럼만이 아니라 페이스북, 트위터, 텔레그램, 유튜브와 같은 플랫폼에서도 적극 활동하고 있었다.

"그렇게 추적한 결과, 처음 몇 달간의 활동을 관찰하면 이제 막 범죄 시장에 들어선 새내기 해커들이 앞으로 계속해서 그 방향으로 활동을 이어갈 것인지 아니면 흐지부지 사라질 것인지 어느 정도 예견하는 게 가능하다는 결론을 얻을 수 있었습니다. 심지어 그 과정에 개입해 사이버 범죄로부터 영영 발길을 끊게 하는 것도 가능하다는 걸 알게 되었습니다.” 메이몬의 설명이다.

“저희는 저희도 해커들인 것처럼 시늉하며 새내기 해커들에게 DM을 보냈습니다. ‘지금 경찰이 웹사이트 변조 공격자들을 찾으려고 혈안이 되어 있다는 소문이 돈다’는 내용을 전달하기 위해서였습니다. 꽤 여러 사람들에게 보냈는데, 상당수가 변조 공격을 그만두는 것을 알아낼 수 있었습니다. 경찰이 추적한다고 했을 때 대부분은 더 활동을 이어갈 용기를 잃는다는 것이죠.”

4개의 행동 패턴
둘은 또 241명의 해커들이 처음 1년 동안 진행한 공격의 빈도 역시 기록했다. 주로 어떤 사이트들을 공격하는지, 어떤 메시지를 남기는지도 분석했고 소셜미디어와 다크웹 사이트들에서 이 해커들과 관련된 여러 오픈소스 첩보들도 수집했다. 그 결과 241명의 해커들(혹은 해킹 단체들)이 공격한 사이트는 총 39,428개임을 알아냈다.

“이 정도의 웹사이트들을 공격하면서 해커들은 크게 네 가지 패턴을 보여주었습니다.” 연구원들이 발견한 패턴은 다음과 같았다.
1) 저위험 : 28.8%
2) 자연스러운 포기 : 23.9%
3) 다양한 공격 진행 : 25.8%
4) 지속적 위협 : 21.5%

“이 중 다양한 공격을 진행하는 3번 유형의 공격자들은 점점 더 공격 횟수를 늘려가고, 지속적인 위협이 되는 4번 유형의 공격자들은 처음부터 대규모 공격들을 꾸준히 감행합니다.” 하웰의 설명이다. “저희가 추적한 공격자들 중 몇 퍼센트나 사이트 변조 공격 외에 다른 공격을 실시하는지까지는 알아내지 않았습니다. 하지만 대부분 변조 공격 외에 다른 활동들도 하고 있는 것으로 알고 있습니다.”

참을 수 없는 자랑
그렇다면 어떤 해커들이 3번과 4번 카테고리에 들어가게 되는 걸까? 연구원들이 추적한 바에 따르면 “소셜미디어 플랫폼에서 왕성하게 활동하고, 자신들의 사이트 변조 공격 성공 사실을 여러 해킹 포럼에 자랑하는 이들일수록 꾸준하게 성장하거나 처음부터 큰 위협이 되는 경향이 있다”고 한다. “이런 부류의 사람들은 피해 사이트에도 자신들의 닉네임을 남기고 심지어 연락 방법까지 제시하려고 합니다. 사이버 범죄를 본격적으로 시작하면서 자신들의 브랜드를 남기려는 것이라고 볼 수 있습니다.”

또한 3번과 4번에 해당하는 해커들일수록 더 큰 범죄 조직이나 핵티비스트의 일원일 가능성이 높았다고 한다. “실력이 좋은 사람들이 3번과 4번에 해당하는 경우가 많습니다. 이런 해커들은 큰 조직들이 알아보고 부지런히 스카웃을 하죠. 그리고 이런 새내기 해커들은 그 사실을 아주 자랑스러워합니다. 여기 저기 알리고 다니죠.”

하웰은 이번 연구의 의의에 대해 “이미 공개되어 있는 정보들만 수집해도 특정 공격자들이 앞으로 더 위협적으로 활동을 하게 될지, 아니면 곧 사라질 것인지를 높은 확률로 예측할 수 있게 되며, 이를 바탕으로 방어 전략을 보다 효율적으로 짤 수 있게 된다”고 설명한다. 현재 두 연구원들은 이러한 연구 결과와 인공지능 알고리즘을 결합해 보다 정확하고 빠르게 범죄 조직을 평가할 수 있는 방법을 고안하는 중이라고 한다.

3줄 요약
1. 사이트 위변조 공격을 하는 해킹 그룹들, 크게 네 부류로 나눌 수 있음.
2. 미래에도 위협으로 남을 가능성이 높은 해커들은 대부분 자랑에 심취.
3. 사이버 범죄에 막 발을 들여놓은 해커들에게 경찰 얘기하면 사라지는 경우가 많음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)