로그프레소, 아홉 번째 사이버 위협 인텔리전스 리포트 발행

북한발 사이버 공격 사례·실제 해커 이메일 정보 분석

로그프레소 제공

로그프레소가 아홉 번째 사이버 위협 인텔리전스(CTI) 리포트를 발행하고, 북한발 사이버 공격 사례와 실제 해커의 이메일 정보를 분석했다고 22일 밝혔다.

로그프레소는 전 세계에서 수집한 OSINT(Open Source Intelligence)를 활용해 공격자에 대한 분석을 시행했다. 특히 과거 한국의 주요 공공기관을 공격했던 악성코드를 분석한 결과, 사이버 공격자가 북한과 직접적으로 연관된 특정 이메일 계정과 IP 대역을 이용했음을 확인했다.

로그프레소는 미국 연방수사국(FBI)이 공소장에 공개한 북한 해커 박진혁의 이메일 주소를 확보해 이를 분석해 실제 북한 해커들이 사용했던 이메일 계정과 패스워드를 확인했으며, 북한에 할당된 IP 대역을 통해 공격한 사실을 공개했다.

과거에는 악성코드를 분석해 공격 그룹을 조사해 C2 서버 관련 계정, IP 및 도메인 등을 활용해 추가 공격을 방어했지만 최근 들어 공격자들이 악성코드 정보에 다른 사람이나 집단의 정보를 사칭하는 위장 전술을 사용하면서, 공격 그룹을 특정하기 위해서는 다각적인 분석 방법이 필요해지고 있다.

장상근 로그프레소 연구소장은 "사이버 공격이 첨예화되면서 이에 대응하기 위한 분석 기술 또한 고도화되고 있다"며 "사이버 공격과 공격자 집단을 효과적으로 연구하기 위해서는 OSINT 관점도 활용해야 할 것"이라고 설명했다.

이번 CTI 리포트에서는 최근 발생했던 국내 대학교의 개인정보 유출 사고 사례를 함께 다뤘다. 대다수 기업과 기관들이 담당자를 채용해 보안관리 업무를 수행하고 있음에도 불구하고 즉각적인 조치가 어려운 이유와 기존 보안솔루션의 한계를 개선하기 위한 방안을 함께 소개했다.

로그프레소 관계자는 "근무 시간 외에 주말과 새벽, 공휴일 등에 이루어지는 공격에도 효과적으로 대응하기 위해서는 SOAR(Security Orchestration, Automation and Response) 도입을 추천한다"며 "보안 운영 업무를 자동화하고 표준화해 사이버 공격에 대응하는 평균 시간 'MTTR(Mean Time To Respond)'을 줄이는 것이 핵심"이라고 설명했다.

유진아기자 gnyu4@dt.co.kr