¿ì¸®³ª¶ó°¡ 2015³â »ó¹Ý±â »çÀ̹ö °ø°Ý °ü·Ã ¼øÀ§¿¡ ¿¬À̾î 1À§ ±â·ÏÇÏ´Â ºÒ¸í¿¹¸¦ ¾È¾Ò´Ù.
ÆÄÀ̾î¾ÆÀÌ(Áö»çÀå Àü¼öÈ« www.fireeye.com/kr/ko)´Â 2015³â »ó¹Ý±â¿¡ ¾Æ½Ã¾Æ Áö¿ªÀ» Áß½ÉÀ¸·Î ÀÏ¾î³ »çÀ̹ö °ø°ÝÀ» ºÐ¼®ÇÑ ‘2015 »ó¹Ý±â Áö´ÉÇü À§Çù º¸°í¼’¸¦ ¹ßÇ¥, ÀÌ°°ÀÌ ¹àÇû´Ù.
º¸°í¼¿¡ µû¸£¸é, Çѱ¹Àº CnC(Control&Command) Äݹé(Callback) ¸ñÀûÁö·Î °¡Àå ¸¹ÀÌ ÀÌ¿ëµÈ ±¹°¡·Î ²ÅÇû´Ù.
¾Æ¿ï·¯ Ãë¾àÁ¡ °ø°Ý°ú ¾Ç¼ºÄÚµå °¨¿° À§Çù¿¡ °¡Àå ¸¹ÀÌ ³ëÃâµÈ ±¹°¡, CnC¼¹ö·ÎÀÇ APT ÄݹéÀÌ °¡Àå ¸¹ÀÌ ¹ß»ýÇÑ ±¹°¡ ¼øÀ§¿¡¼ ¿¬À̾î 1À§¿¡ ¿Ã¶ú´Ù.
»ê¾÷º°·Î »ìÆ캸¸é, Åë½Å »ê¾÷°ú Á¤ºÎ ±â°ü, ÷´Ü ±â¼ú ±â¹Ý »ê¾÷ÀÌ ¾Æ½Ã¾Æ Áö¿ªÀÇ ÁÖ¿ä »çÀ̹ö °ø°Ý Ÿ±êÀÎ °ÍÀ¸·Î ¹àÇôÁ³´Ù.
¶Ç »ê¾÷º° APT °ø°Ý ³ëÃâ·ü ¼øÀ§¿¡¼´Â Åë½Å »ê¾÷°ú Á¤ºÎ ±â°üÀÌ °¢ 1, 2À§¸¦ ±â·ÏÇÑ ÇÑÆí APT Äݹé ÃÖ´Ù ¹ß»ý »ê¾÷ ¼øÀ§¿¡¼´Â ÷´Ü ±â¼ú »ê¾÷°ú Á¤ºÎ ±â°üÀÌ 1, 2À§¸¦ ±â·ÏÇß´Ù.
¡ßCnC ÄÝ¹é ¸ñÀûÁö·Î °¡Àå ¸¹ÀÌ ÀÌ¿ëµÈ ±¹°¡ = Çѱ¹Àº CnC ÀÎÇÁ¶ó¿Í °¨¿°µÈ ³×Æ®¿öÅ© »çÀÌ¿¡¼ ÀÌ·ç¾îÁö´Â ºÒ¹ýÀûÀÎ Ä¿¹Â´ÏÄÉÀ̼Ç, ‘ÄÝ¹é’ ¸ñÀûÁö·Î °¡Àå ¸¹ÀÌ ÀÌ¿ëµÈ ±¹°¡·Î ²ÅÇû´Âµ¥, ÀÌ´Â °ø°Ý ±×·ìÀÌ Çѱ¹ÀÇ PC ȤÀº ÀÎÇÁ¶ó¸¦ ÀڽŵéÀÇ »çÀ̹ö °ø°Ý¿¡ °¡Àå ¸¹ÀÌ ÀÌ¿ëÇß´Ù´Â °ÍÀ» ÀǹÌÇÑ´Ù.
±× ¿øÀÎÀº Çѱ¹ÀÇ ¹ß´ÞµÈ ÀÎÅÍ³Ý ÀÎÇÁ¶ó¿¡¼ ãÀ» ¼ö ÀÖ´Ù. °ø°Ý ±×·ìÀÌ °ø°Ý¿¡ ÇÊ¿äÇÑ ÀÎÅÍ³Ý ¼Óµµ¸¦ Çѱ¹ÀÇ ÀÎÇÁ¶ó¿¡¼ ¾òÀ» ¼ö Àֱ⠶§¹®.
¶ÇÇÑ ±¹³» ISP(Internet Service Provider)ÀÇ º¸¾ÈÀÌ Ãë¾àÇÑ ¼¹ö¸¦ »çÀ̹ö °ø°ÝÀÇ CnC¼¹ö·Î ÀÌ¿ëÇÏ´Â µî °ø°Ý ±×·ìÀº °Ë¿µÇÁö ¾ÊÀº ±¹³» ³×Æ®¿öÅ©¸¦ °ø°Ý ·çÆ®·Î »ç¿ëÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
1À§¸¦ Â÷ÁöÇÑ Çѱ¹¿¡ ÀÌ¾î ¹Ì±¹, Áß±¹, ³×´ú¶õµå, µ¶ÀÏ µîÀÌ »óÀ§ 5À§±ÇÀ» Â÷ÁöÇß´Ù.
¡ßAPT °ø°ÝÀ¸·ÎÀÇ ³ëÃâ = Çѱ¹ÀÇ APT ³ëÃâ·üÀº 39%¸¦ ±â·Ï, ¾Æ½Ã¾Æ Æò±Õ(33%)À» ¿ôµ¹¾ÒÀ¸¸ç ±Û·Î¹ú Æò±Õ(20%) ¼öÄ¡ÀÇ µÎ ¹è¿¡ À°¹ÚÇß´Ù.
Çѱ¹¿¡ ÷´Ü ±â¼ú »ê¾÷, ¸ð¹ÙÀÏ ¾÷ü, ƯÇã ¹× ÁöÀûÀç»ê(IP) ±â¹Ý »ê¾÷ÀÌ ¹ÐÁýµÅ ÀÖ´Â °Í°ú ºÏÇÑ°úÀÇ Á¤Ä¡ÀûÀÎ °ü°è ±×¸®°í Áö¸®Àû À§Ä¡ µîÀ» ±× ¿øÀÎÀ¸·Î ÃßÃøÇÒ ¼ö ÀÖ´Ù.
¡ß°ø°Ý À§Çù ÃÖ´Ù ³ëÃâ ¹× CnC Äݹé ÃÖ´Ù ¹ß»ý ±¹°¡ = Çѱ¹Àº Ãë¾àÁ¡ °ø°Ý°ú ¾Ç¼º ÄÚµå °¨¿° À§Çù¿¡ °¡Àå ³ëÃâµÈ ±¹°¡ 1À§¿¡ ¿Ã¶ú´Ù.
ÀÌ´Â ±¹³» »ç¿ëÀÚ¸¦ Ÿ±êÀ¸·Î ÇÑ ¿öÅ͸µÈ¦(Watering-Hole) °ø°Ý°ú ¿¬°ü ÁöÀ» ¼ö ÀÖ´Ù.
±¹³»¿¡¼ Æ÷ÂøµÈ ¿öÅ͸µÈ¦ °ø°ÝÀº »ç¿ëÀÚ·Î ÇÏ¿©±Ý °¨¿°µÈ ±¤°í »çÀÌÆ®·Î ¹æ¹®ÇÏ°Ô ÇÏ´Â ¹æ½ÄÀ¸·Î ´ë±Ô¸ð °ø°Ý Á¤È²ÀÌ ¹ß°ßµÈ ¹Ù ÀÖ´Ù.
´õºÒ¾î, Çѱ¹Àº CnC ÄݹéÀÌ °¡Àå ¸¹ÀÌ ¹ß»ýÇÑ ±¹°¡·Î ²ÅÇû´Âµ¥ ÀÌ´Â ±¹³»¿¡¼ °í½ºÆ®·§(Gh0st Rat) Äݹé È°µ¿ÀÌ ¸¹ÀÌ ¹ß°ßµÈ °Í°ú ¿¬°üµÈ´Ù.
Äݹé È°µ¿ÀÇ ´ëºÎºÐÀº ´ë±Ô¸ð º¿³Ý(Botnet)À» ¸¸µå´Âµ¥ ÀÌ¿ëµÆ°í ¸î¸îÀº Ÿ±ê °ø°ÝÀ» À§ÇØ ¾Ç¿ëµÈ °ÍÀ¸·Î È®ÀεƴÙ.
¡ß»ê¾÷º° »çÀ̹ö À§Çù ³ëÃâ Á¤µµ = »ê¾÷º° APT ³ëÃâ·üÀ» »ìÆ캸¸é, Åë½Å »ê¾÷°ú Á¤ºÎ±â°üÀÌ »óÀ§ 2°³±¹À¸·Î APT °ø°Ý¿¡ °¡Àå ¸¹ÀÌ ³ëÃâµÈ »ê¾÷À̾ú´Ù.
APT ÄݹéÀÌ °¡Àå ¸¹ÀÌ ¹ß»ýÇÏ´Â »ê¾÷ ¼øÀ§¿¡¼´Â ÷´Ü ±â¼ú »ê¾÷°ú Á¤ºÎ ±â°üÀÌ ³ª¶õÈ÷ 1, 2À§¸¦ Â÷ÁöÇßÀ¸¸ç, ±ÝÀ¶ ¼ºñ½º¾÷ÀÌ ±× µÚ¸¦ À̾ú´Ù.
Ãë¾àÁ¡ °ø°Ý°ú ¾Ç¼ºÄÚµå °¨¿° À§Çù¿¡ ³ëÃâµÈ »ê¾÷ ¼øÀ§¿¡¼ ¿ª½Ã ÷´Ü ±â¼ú »ê¾÷, ±ÝÀ¶ ¼ºñ½º, Á¤ºÎ ±â°üÀÌ ³ª¶õÈ÷ »óÀ§ 3À§±ÇÀ» Â÷ÁöÇß´Ù.
À̸¦ ÅëÇØ Åë½Å»ê¾÷, ÷´Ü ±â¼ú »ê¾÷, Á¤ºÎ±â°ü ±×¸®°í ±ÝÀ¶ ¼ºñ½º¾÷ÀÌ »çÀ̹ö °ø°ÝÀÇ ÁÖ¿ä Ÿ±êÀÌ µÇ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù.
ÆÄÀ̾î¾ÆÀÌÀÇ Àü¼öÈ« Áö»çÀåÀº “Çѱ¹Àº »çÀ̹ö °ø°Ý À§Çù¿¡ Ä¡¸íÀûÀ¸·Î ³ëÃâµÊ°ú µ¿½Ã¿¡ »çÀ̹ö °ø°Ý¿¡ ÀÌ¿ëµÇ´Â ±¹°¡”¶ó¸ç “¹ß´ÞµÈ ÀÎÅÍ³Ý ÀÎÇÁ¶ó¿¡ °É ¸Â´Â º¸¾È ³ë·ÂÀÌ ÇÊ¿äÇÑ ½ÃÁ¡”À̶ó°í ÀüÇß´Ù.
Àü Áö»çÀåÀº ÀÌ¾î “À̸¦ À§Çؼ´Â º¸¾È ÅøÀ» Áö¼ÓÀûÀ¸·Î ¾÷µ¥ÀÌÆ®ÇÏ°í, Àû¿ë °¡´ÉÇÑ º¸¾È ¸ðµ¨À» ½Ç½ÃÇÏ¿© ħÇØ¿Í Å½Áö »çÀÌÀÇ ±â°£À» ´ÜÃàÇØ¾ß ÇÑ´Ù”¶ó¸ç “´Ù¸¥ ±â¾÷ ȤÀº ´Üü¿Í »çÀ̹ö °ø°Ý À§Çù ÀÎÅÚ¸®Àü½º(Threat Intelligence)¸¦ °øÀ¯ÇÏ´Â °Íµµ ÇϳªÀÇ ¹æ¹ý”À̶ó°í µ¡ºÙ¿´´Ù.
À̹ø 2015»ó¹Ý±â Áö´ÉÇü À§Çù º¸°í¼´Â 2015³â 1¿ù¿¡¼ 6¿ù±îÁö ÆÄÀ̾î¾ÆÀÌÀÇ µ¿Àû À§Çù ÀÎÅÚ¸®Àü½º(DTI, Dynamic Threat Intelligence) Ŭ¶ó¿ìµå¿¡¼ ¼öÁýµÈ µ¥ÀÌÅ͸¦ ±â¹ÝÀ¸·Î, »çÀ̹ö À§Çù¿¡ ³ëÃâµÈ »ê¾÷, °ø°Ý¿¡ »ç¿ëµÈ ¾Ç¼ºÄÚµå µî¿¡ ´ëÇÑ Á¤º¸¸¦ Á¦°øÇÑ´Ù.
¾Æ½Ã¾Æ Áö¿ªÀÇ Áö´ÉÇü À§Çù¿¡ ´ëÇÑ ÀÚ¼¼ÇÑ Á¤º¸¸¦ ´ã°í ÀÖ´Â º¸°í¼ Àü¹®Àº (https://www2.fireeye.com/rs/848-DID-242/images/rpt-regional-atr-apac.pdf)¿¡¼ ´Ù¿î¹ÞÀ» ¼ö ÀÖ´Ù.
<±èµ¿±â ±âÀÚ>kdk@bikorea.net < ÀúÀÛ±ÇÀÚ © BI KOREA ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö > |