다가오는 주말, 한국 정부 기관 데이터 공개될까?

다가오는 주말, 한국 정부 기관 데이터 공개될까?
Photo by Javier Miranda / Unsplash
💡
Editor's Pick
- 지난 주 날아든 핵폭탄급 소식
- 이번 주말에도 예고된 핵폭탄급 소식
- 정보 공개자는 화이트햇일 것인가, 블랙햇일 것인가

지난 주말 데프콘(DEF CON)이라는 국제 해킹 대회에서 데이터 폭탄이 떨어졌다. 세이버(Saber)와 사이보그(cyb0rg)라는 이름의 두 해커가 한 APT 조직의 내부 인프라에서 얻어낸 데이터라며 8.9GB의 덤프를 공개한 것이다. 두 사람은 이 APT를 ‘킴(KIM)’이라는 이름으로 불렀고, 현재까지도 이 ‘킴’에 대해서 여러 가지 추측들이 나오고 있다. 

서로 다른 관전 포인트
당시 이 사건으로부터 나오는 해외 보안 전문가들의 반응은 이거였다.
“와! 드디어 APT 조직의 내부를 들여다볼 수 있겠구나! 그러면 APT 공격을 좀 더 정확하게 탐지할 엔진도 개발할 수 있겠구나!” 마치 잔치가 벌어진 듯했다. 킴의 정체가 궁금했던 건 이런 맥락에서였다. 세이버와 사이보그는 주말이 추가 데이터를 공개하겠다고 약속했고, 이제 그 주말이 다가오고 있다. 세계 보안인들은 ‘킴’의 운영 원리와 비밀을 곧 알게 된다며 두근두근 설레고 있다.

반면 한국은 초상집이다. 남의 잔치 소리가 귀에 들어오지 않는다. 왜냐면 그 ‘킴’이란 해킹 조직이 하필이면 한국 정부 기관들과 일부 통신사를 털었다는 게 덩달아 드러났기 때문이다. 누구는 APT 조직에 대해 더 깊이 이해할 수 있다며 기대할 때, 우리는 어떤 정보가 도난당했는지 파악하느라 진땀을 빼고 있다. 주말에 공개되는 추가 정보 속에 내부 문건이라도 들어있으면 난리나는 거라, 지금 해당 기관과 KISA 담당자들은 잠도 못 자고 있을 것이다.

어디서 많이 맡았던 ‘뻥카’의 향기
한국인으로서 가장 바라게 되는 시나리오는 세이버와 사이보그가 ‘블러핑’을 한 것으로 판명나는 것이다. 사실 지난 주말 문제의 데이터가 처음 공개됐을 때도 ‘블러핑’에 대한 이야기가 나왔었다. 왜냐하면 데이터 공개 방식이 과거의 아픈 기억들을 떠올리게 했기 때문이다. 1차 샘플을 맛보기로 공개하고, ‘우리한테 더 충격적인 것들이 많다’고 떠벌리며 ‘궁금하면 2차 공개까지 기다려’라고 당당히 발표했던 수많은 공격자들 대부분 ‘관심종자’들이었다는 게 드러난 그 허무했던 기억들 말이다.

여기서 잠깐 그 허무했던 기억들 중 몇 개를 시간순으로 되짚어보자.
1) 2020년 메이즈(Maze) 랜섬웨어 : 메이즈 랜섬웨어는 매번 피해자들로부터 빼앗은 데이터를 공개하겠다며 첫 번째 샘플을 누구나 볼 수 있게 풀어두었다. 그러면서 돈을 내지 않으면 훨씬 더 많은 데이터를 두 번째로 공개하겠다고 협박했다. 하지만 대부분의 경우 두 번째 공개된 데이터는 첫 번째 샘플에 더미 데이터를 뒤섞어둔 것이었다. 실제 훔쳐낸 데이터는 얼마 되지 않는데 피해자에게 압박을 가하고 싶어 이런 전략을 쓴 것으로 해석된다.

2) 2021년 바북(Babuk) 랜섬웨어 : 어느 날 바북은 자신들이 워싱턴경찰서의 내부 시스템으로부터 거의 모든 데이터를 훔쳤다고 발표했다. 일부 샘플을 증거용으로 공개하기도 했다. 그러면서 “다음에 더 많은 데이터를 공개할 예정”이라고 경고했다. 하지만 약속된 날, 바북은 매우 소량의 파일 혹은 파일의 조각들만 공개했다. “너무 민감한 데이터가 많았다”는 게 그 이유였다.

3) 2021년 다크사이드(DarkSide) 랜섬웨어 : 콜로니얼파이프라인(Colonial Pipeline)  사건으로 미국 일부 지역에서 가스 공급이 중단되는 초유의 사태가 발발하고서 얼마 지나지 않아 그 사건을 일으켰던 다크사이드(DarkSide)는 “곧 훨씬 많은 기밀을 공개할 예정”이라고 발표했었다. 하지만 그 날은 아직도 오지 않았다. 다크사이드는 자신의 이름을 슬그머니 블랙매터(BlackMatter)로 바꿨다.

4) 2022년 랩서스(LAPSUS$) : 여러 유명 기업이나 기관들을 침해해 단박에 유명세를 탔던 해킹 그룹 랩서스는 2022년 충격적인 데이터 공개를 이어가다가 갑자기 “정말 중요한 정보 유출 건 하나가 남았다”며 팬들의 기대를 모았다. 심지어 그 정보는 유명 테크 기업에서 훔쳐낸 것이라고까지 밝혔다. 하지만 아직도 그 정보는 공개되지 않고 있다. 랩서스 멤버 일부가 사법기관에 의해 체포됐기 때문이다.

뭐야, 랜섬웨어였잖아
‘뻥카’의 기억을 되살렸을 때 한 가지 놓쳤던 사실이 수면 위로 떠오른다. 바로 ‘랜섬웨어 조직들’이 그 주역이었다는 것이다. 랜섬웨어는 최근 ‘산업화’라는 과정을 겪었을 정도로 고도화 되어가는 중이다. 그만큼 날카로워지고 무자비해지고 있다. 공격 효율과 효과 모두 높아지는 중이기도 하다. 

그러면서 랜섬웨어 조직들 간 경쟁에 불이 붙었는데, 일부 조직들 사이에서 ‘신뢰’가 랜섬웨어 사업에서 가장 중요한 것이라는 지적이 나왔다. 랜섬웨어는 파일을 암호화 한 후에, 그걸 풀어주는 대가로 피해자로부터 돈을 받는 유형의 범죄다. 하지만 초기 랜섬웨어 공격자들은 돈만 챙겼지 복호화를 제대로 해주지 않기 일쑤였다. 입금이 확인되면 갑자기 사라지거나, 암호화/복호화 기술이 부족해 복호화 도구를 줬지만 잘 작동하지 않았다. 피해자들은 더 이상 랜섬웨어 조직들을 신뢰할 수 없었고, 따라서 돈을 주고 복호화를 진행할 이유가 없었다. 

그래서 랜섬웨어 산업 내 플레이어들은 “피해자와의 신뢰를 회복해야 한다”는 우스꽝스런 목표를 세운 채 움직이고 있다. 지금은 랜섬웨어 범죄자들에게 돈을 내고서 받는 복호화 키가 말썽을 부리는 일은 드물다. 그만큼 랜섬웨어 조직들은 불과 최근까지도 ‘거짓말’이 기본 특성이었다는 걸 알 수 있다. 어쩌면 ‘뻥카’의 기억이란, 조금 편향된 것일 수도 있다.

진지했던 순차적 공개의 역사
하지만 약속했던 것만큼 무시무시했던 ‘2차 데이터 공개’의 기억들도 우리에게는 존재한다. 이 역시 되짚어볼 필요가 있다. 세이버와 사이보그가 랜섬웨어 공격자들이 아닌 이상(스스로는 화이트햇 해커라고 한다), 블러핑을 하지 않을 가능성이 높아 보이기 때문이다.

1) 2015년 해킹팀(Hacking Team) : 수차례 데이터를 공개한 해킹 조직, 해킹팀은 각종 이메일과 소스코드로 구성된 400GB 데이터를 공개하고서 그 다음에는 제로데이 익스플로잇들과 해킹 도구들을 풀어버렸다. 당시 보안 엔진은 주로 시그니처 기반이었는데, 이 정보 덕분에 다량의 시그니처를 추가할 수 있었다.

2) 2016~17년 셰도우브로커즈(Shadow Brokers) : 당시 가장 많은 주목을 받았던 해킹 조직으로서 셰도우브로커즈는 순차적으로 익스플로잇과 임플란트들을 공개했다. 공격자들에게 꽤 유용한 정보였고, 쓸모 없는 경우는 거의 없었다. 

3) 2022년 콘티(Conti) : 러우 전쟁으로 콘티는 내부에서부터 와해됐다. 그러면서 일부 구성원들이 내부 채팅 로그를 공개했다. 그 다음에도 중요 정보를 풀겠다고 약속했고, 실제 이들은 콘티가 간직해오던 공격 매뉴얼, 도구 관련 문건, 각종 운영 관련 지침과 실수들을 유출시켰다. 

4) 2022년 랩서스 : 랩서스 역시 매번 ‘예고제’로 데이터를 공개하던 그룹이었다. 위에서 ‘뻥카’ 이력을 가진 해킹 조직으로 이름이 언급됐지만, 체포돼서 공개를 못하는 거였지, 일부러 헛소리를 한 건 아니었다. 랩서스가 순차적으로 공개한 데이터들은 익스플로잇과 주요 기업/기관의 내부 정보 등 꽤나 알찼다는 평가를 받는다.

이번 주말은 어느 쪽?
이러한 과거 사례들에 비춰 이번 주말 세이버와 사이보그가 공개할 데이터가 무엇인지 예측해 볼 수 있다. 가장 확률이 높아 보이는 건, 애초에 둘이 예고했던 것처럼 ‘킴’이라는 APT 조직이 사용했던 공격 도구들이다. 킴이 사용했던 피싱 키트와 소스코드 등이 여기에 포함될 것이다. 이를 통해 보안 업체들은 더 나은 방어책을 강구할 수 있지만, 아마추어 해커들에게도 좋은 학습 자료가 될 수 있어, 양날의 검이 될 공산이 크다.

‘킴’이 노렸던 데이터셋이나 메타데이터가 공개될 수도 있다. 예를 들어 한국 정부 기관 내 근무자를 속이기 위해 만들어진 ‘미끼용 템플릿’이 이번에 드러난다면, 해당 한국 정부 기관들의 데이터도 일정 부분 노출될 수 있다. 다만, 이건 특정 직원의 이름이나 연락처 정도(‘킴’이 노린 사람들의 특징)지, 그러한 기관들의 내부 문건처럼 민감도가 높은 정보는 아닐 것이다.(이는 기사 말미에 좀 더 설명돼 있다.)

그렇다고 민감한 내부 문건 혹은 기밀이 드러나지는 않을 거라고 볼 수 있을까? 불가능한 일은 아니다. 하지만 위 두 개만큼 확률이 높다고 볼 수는 없다. 특히 세이버와 사이보그가 사이버 범죄자가 아니라 화이트햇 해커라면, 그러한 정보가 있다손 치더라도 비공개로 전환시킬 가능성이 높다. 그런 후 해당 기관에만 은밀히 정보를 제공할 수도 있다.

헤킹팀이나 콘티의 경우처럼 새로운 제로데이 익스플로잇과 같은 정보를 공개할 가능성도 있지만, 확률이 높아 보이지는 않는다. 세이버와 사이보그가 아직까지는 화이트햇 해커로 알려져 있기 때문이다. 설사 ‘킴’의 공격 인프라에서 그런 정보를 취득했다 하더라도, 정말로 둘이 화이트햇 해커라면 이를 알아서 걸러낼 것이라고 본다. 

결국 이번 주말 공개되는 데이터가 폭탄이 될 것이냐, 폭죽이 될 것이냐는 세이버와 사이보그가 어떤 정체성과 의도를 가지고 정보를 선별하느냐에 따라 달라질 예정이다. 방어자들에게 도움이 될 만한 정보, 즉 APT 은밀한 내부 사정을 드러낼 것인가, 한국 정부 기관과 보안 업계에 위협이 될 만한 내용도 거르지 않을 것인가가 관건이다. 전자라면 우리도 해외 보안 업계의 잔치에 참여할 수 있겠고, 후자라면 세이버와 사이보그라는 이름에 검은색 빛이 덧칠될 것이다.

APT 조직들, 주로 어떤 정보 저장하고 있나?
한 가지 더 생각해 볼 것은 APT라고 분류되는 해킹 조직들이 자신들의 서버에 주로 어떤 정보를 저장하고 있느냐다. 물론 APT들마다 공격 패턴과 전술이 다르기 때문에 일관성을 담보할 수는 없지만, 주말에 있을 일을 예상하는 데 있어 이는 중요한 요소가 될 수 있다.

APT들이 운영하는 공격 인프라에 보통 저장돼 있는 정보들은 다음과 같다.
1) 임플란트, 비컨, 멀웨어 페이로드나 모듈, 로그 등
2) 피싱 키트, 각종 미끼용 파일이나 탬플릿, 익스플로잇 및 취약점 정보 등
3) 공격에 사용하는 크리덴셜 정보와 자동화 스크립트 등
4) 트래픽 포워딩을 위한 설정 파일, 난독화 도구 등
5) 멀웨어 소스코드와 빌드 정보, 내부 소통 로그, 표적에 대한 자료 등

세이버와 사이보그가 정말로 킴의 인프라에만 침투한 것이고, 그 킴이 공격했던 피해자들 조직 내부는 들여다보지 않은 거라면, 위의 정보들이 이번에 공개될 것으로 예상할 수 있다. 그렇다면 한국 정부 기관들은 대량 기밀 공개 사태를 비껴갈 수 있을 것으로 보인다.

다만 3)번의 크리덴셜 정보 중 한국 정부 기관에서 사용되는 것들이 섞여 있을 수는 있다. 공격자들 간 내부 소통 로그나 공격 표적에 대한 자료에도 약간의 민감 정보가 존재할 가능성이 존재한다.


한국 정부가 위험하다 해서 알아보니...아직까지 주인공은 해킹 조직
💡Editor’s Pick - 데프콘 현장에서 한 APT 조직의 내부 정보 유출 - 이 APT 조직은 북한이나 중국과 관련 있을 가능성 높음 - 한국 국방방첩사령부와 대검찰청을 턴 APT 조직 화이트햇 해커들을 위한 올림픽이라고 불리는 ‘데프콘(DEF CON)’에 데이터 폭탄이 떨어졌다. 보안 잡지 프랙(Phrack)을 통해 두 명의 해커가 한

Read more

안랩, ‘2025년 ICT 중소기업 정보보호 지원사업’ 수요기업 모집

안랩, ‘2025년 ICT 중소기업 정보보호 지원사업’ 수요기업 모집

💡Editor's Pick - 네트워크 보안 솔루션, 중소기업용 SaaS형 보안관리 솔루션 등 공급 - KISA 지역정보보호센터 홈페이지서 11월 말까지 신청 가능 안랩이 ‘2025년 ICT 중소기업 정보보호 지원사업’ 공급기업으로 선정돼, 보안 제품과 서비스를 도입할 수요 기업을 모집한다. 이번 지원사업은 ▲정보보호 컨설팅 및 보안제품 지원 ▲클라우드 기반 보안서비스(SECaaS, Security as

By CheifEditor
가비아, 그룹웨어 '하이웍스'에 업무관리 기능 출시

가비아, 그룹웨어 '하이웍스'에 업무관리 기능 출시

💡Editor's Pick - 업무 흐름 및 프로젝트 관리 위한 모듈형 업무관리 기능 정식 제공 - 메일, 메신저 등 하이웍스와 연동되는 올인원 협업 환경 구현 가비아가 그룹웨어 하이웍스에 '업무관리' 기능을 새롭게 출시했다고 14일 밝혔다.  이번 서비스는 모듈형 업무관리로, 컴포넌트와 맞춤형 템플릿을 활용해 업무 유형에 최적화된 앱을 만들

By CheifEditor
캐나다 연방 정부 사이버보안 혁신 - 양자 컴퓨팅 시대 준비

캐나다 연방 정부 사이버보안 혁신 - 양자 컴퓨팅 시대 준비

💡Editor Pick - 포스트 양자 암호(PQC) 로드맵 발표, 2035년까지 전면 전환 - 양자컴퓨터 위협 대비한 차세대 암호 기술 도입 - QEYSSat 프로젝트로 위성 기반 양자 통신 실험 추진 캐나다 연방 정부가 포스트 양자 암호(Post Quantum Cryptography, PQC) 로드맵 "Roadmap for the migration to post-quantum cryptography for the

By Senior Editor, Donghwi Shin