장영준 NSHC 수석 “해킹 그룹의 해킹 활동 방식 및 도구 관련 사이버 위협 인텔리전스 확보 필요”

오픈소스 기반 도구와 프리웨어 악용 사이버공격, 2021년 기준 전체공격의 20% 차지

장영준 NSHC 수석. K-CTI 2022에서 '오픈소스 기반 도구 및 프리웨어를 악용한 해킹 그룹들'을 주제로 강연을 진행하고 있다.

최근 데일리시큐가 주최하는 국내 최대 보안 인텔리전스 컨퍼런스 K-CTI 2022에서 NSHC 장영준 수석은 ‘오픈소스 기반 도구 및 프리웨어를 악용한 해킹 그룹들’을 주제로 강연을 진행했다.

NSHC ThreatRecon 팀은 사이버 위협 인텔리전스(Cyber Threat Intelligence) 서비스를 전담하고 있으며 전 세계에서 활동하는 해킹 그룹들의 해킹 활동 관련 정보와 위협 데이터를 수집 및 분석하고 서비스하고 있다. 현재 사이버 위협 인텔리전스 분석 업무로 한국과 싱가포르에서 팀을 운영 중이며 트위터(twitter.com/ 와 블로그 redalert.nshc.net/blog )를 운영 중에 있다.

해킹 그룹들의 해킹 활동 관련 정보와 위협 데이터를 확보하고 다양한 지역에서 발생하는 해킹 그룹들의 해킹 활동을 분석하고 있다. 또한 해킹 그룹들의 활동 목적에 따라 정부 지원 그룹, 사이버 범죄 그룹과 미분류 그룹으로 분류한다.

현재 ThreatRecon Platform은 총 17 개 섹터의 179개 해킹 그룹 관련 위협 데이터를 제공하고 있으며, 3천481건 이상의 위협 이벤트와 18만3천901건 이상의 위협 데이터를 제공하고 있다.

장영준 수석은 “2021년 발견한 해킹 그룹이 활용한 오픈소스 기반 도구와 프리웨어는 총 129개가 존재하며 해킹 그룹이 악용한 오픈 소스 기반 도구와 프리웨어는 대부분 IT 인프라 관리 및 점검 용도로 사용되고 있다”며 “오픈소스 기반 도구와 프리웨어를 악용한 사이버공격이 2021년 기준 20%를 차지하고 있다”고 경고했다.

악용한 도구들 대부분이 깃허브에 소스코드 공개 또는 별도 홈페이지에서 공개되고 있으며, 2021년 총 53개 해킹 그룹들이 해킹 활동에 오픈 소스 기반 도구와 프리웨어를 악용한 것으로 분석됐다.

특정 정부 지원 해킹 그룹인 SectorB의 20개 하위 해킹 그룹들이 악용 빈도가 높고 사이버 범죄 목적의 해킹 그룹인 SectorJ의 12개 하위 해킹 그룹들이 악용 중이라고 전했다.

이어 해킹 그룹들은 오픈소스 기반 도구와 프리웨어를 내부망 침입 이후 가장 활발히 악용하고 있으며, 최초 침해 시스템에서 정보 및 권한 획득 후 인접 시스템 이동 그리고 데이터 유출 준비 단계에서 활용하고 있는 것으로 분석됐다.

해킹그룹의 오픈소스 기반 도구와 프리웨어 악용 목적에 대해 장 수석은 “해킹 도구 개발에 따른 리소스 절감이 목적이다. 과거 성공적으로 악용한 해킹 도구를 재사용해 개발에 따른 비용을 절감하고 완성도 높은 알려진 모의 해킹 도구와 IT 인프라 관리 도구를 해킹 활동에 수월하게 악용하고 있다”고 설명했다.

또 “해킹 진행에 대한 탐지 및 대응 회피도 목적이다. 직접 제작한 독자적 해킹 도구는 상대적으로 보안 장비 등의 탐지에 노출이 쉽다. 그리고 해킹 그룹의 전략 자산인 해킹 도구 노출은 공격자의 해킹 활동 특성 분석과 추적이 용이하기 때문에 알려진 IT 인프라의 보안 관리 도구는 상대적으로 보안 장비 등의 우회가 용이하다”며 “실제 해킹 그룹의 해킹 활동 방식 및 해킹 도구 관련 사이버 위협 인텔리전스 확보가 필요한 상황이다”라고 강조했다.

보다 자세한 내용은 아래 강연영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.