CHAMCHICON SEASON 1 – 북한, 중국발 해킹 열공하기

드디어 제 1회 참치콘 3주여 앞으로 다가오고 있다. 크지 않은 행사로 조그마하지만 강력한 주제들을 선정해서 제한된 실무 그룹들이 모여서 정보를 공유하는 모임으로 5월 9일과 10일 양일간 저녁 시간에 열린다. 장소는 판교 근처로 섭외중이다. 왜 내가 참치콘을 기획했는지는 김치콘, 참치콘, *치콘을 참고해 보기를 바란다. 연재를 통해서 지금까지 치열한 경쟁을 뚫고 선정된 몇몇 세션들에 대해서 간략하게 설명해 보는 자리를 가질까 한다.

  • Speaker: Oamaru/mstoned7/JC
  • Duration: 30 minutes ~ 50 minutes – multiple sessions
  • Type: Intelligence

대한민국의 사이버 스페이스는 지난 20여년간 안밖으로 많은 공격을 받아 왔다. 90년대에는 주로 대학교의 해킹 클럽들 사이의 장난에 가까운 공격들이 일어 나는 수준이었지만, 2000년대 초중반을 지나면서 정치적, 경제적으로 불순한 의도를 가진 공격 주체들의 접근들이 이뤄지게 되었다. 초기에는 이러한 공격 주체가 북한일 거라는 여러 정황 발표에 대해서 많은 경우 언론 플레이 정도로 치부 되거나, 정확한 근거가 없다라는 식의 비난 여론이 강했던 것으로 기억한다. 하지만 2019년 현재, 이미 수많은 IOC들과 코드 유사성, C2 서버 데이타들을 기반으로 하여 국내외의 다수의 보안 회사들은 이미 대한민국에 대해서 감행된 지난 십수년간의 많은 공격들이 북한에서 기인했음이 기정 사실로 받아지고 있다.

WannaCry Attribution에 대해서 논의한 재작년 김치콘 팟캐스트

특히 2018년 6월 FBI가 공식적으로 북한 얼짱 해커 박진혁을 감염된 사람을 울고 싶게 만든다는 워너크라이 공격을 실행한 배후로 지목하게 되면서, 더이상의 북한 배후설의 부정은 뇌피셜에 불과하다는 것을 증명하게 되었다. FBI가 뻘짓을 하고 있고, 모든 것이 NSA의 음모야라고 생각한다면, 본인이 너무 Conspiracy Theory류의 영화를 많이 본것이 아닌가 고민해 보기 바란다. 정확한 attribution은 불가능한 것이라는 등의 불가지론 또한 더 이상 먹히는 논리가 아니다. 그러기에는 너무 멀리 왔다.

사실 북한이라는 존재는 한국에서는 정치적으로 이용되는 경우가 많아서, 보안 회사들이 그 존재를 직접적으로 언급한다는 것은 타부에 가까웠다. 하지만, 최근 여러 한국의 리서쳐들의 노력으로 최근의 많은 사이버 공격의 실체에 대해서 더 많은 디테일들이 드러 나고 있으며, 특히나 그 동안 라자루스(Lazarus)로 대표되는 하나의 조직만을 생각했던 기존의 인식과는 달리 여러 세부 그룹들이 각기 다른 agenda를 가지고 활동한다는 것 또한 밝혀지게 되었다. 최대한의 타임라인은 다음에 정리되어 있다. 최대한 정확한 데이타를 넣으려고 노력했으며, 앞으로 계속 업데이트할 예정이다.

위의 타임라인에서 보듯이 큰 그룹만 Lazarus, Kimsuky, Andariel, Bluenoroff/APT38 이 존재하고, 각 그룹마다 공격 성향 또한 다른 것을 알 수 있다. 어떠한 그룹은 DDOS나 디스크 이미지 파괴등의 굉장히 파괴적인 행위 집중하고, 어떠한 그룹들은 ATM 기계를 턴다든지, 비트 코인 거래소를 턴다든지 하는 굉장히 자본주의의 기본을 파괴하고 경제적인 이득을 추구하는 행위에 집중한다. 어떠한 목적을 가졌든 이러한 행위들은 언제나 대한민국 국민의 생명과 재산 그리고 프라이버시를 침해할 수 있는 임팩트를 항상 가지고 있다. 보안 엔지니어/리서쳐로서 이러한 그룹들에 대해서 더 깊게 특성을 연구하고, 추적하고 막는 것은 당연한 의무라고 볼 수 있다.

또 한가지 그 동안 간과 되어 온 중국 등의 액터에 대해서도 더 깊게 연구될 필요가 있다. 중국 또한 정치적으로 민감한 대상이기에 사실 크게 언론에서 다루기에는 부담감이 크다. 하지만, 팩트는 팩트고 이미 다른 해외 보안 업체와 여러 공신력 있는 기관들이 중국발로 분류하고 있는 공격들에 대해서도 더 깊게 연구하는 것이 죄가 될수는 없다. 이제 어깨를 펴고 당당히 연구도 하고 발표도 하고, attribution도 해야 하고, 이미 그러한 분위기가 무르 익고 있다. 언제까지 우리 나라에 대한 공격들을 해외업체의 attribution에 의지해야 할 것인가? 참치콘에서는 이러한 시류에 편승해서, 이러한 흐름을 더 가속화 시키려고 한다. 위의 세 발표자들은 공개적으로 말하지 못하거나 안한 여러 정보들에 대해서도 이러한 세션들을 통해서 NDA를 전제로 이러한 북한과 중국의 여러 액터들에 대해서 중요한 여러 데이타와 정보를 공유해 주실 것이다.

사이버 시큐리티와 정치적, 지리적, 경제적인 이해 관계를 떼어서 생각할 수 있던 시대는 이미 지나간지 오래다. 정치적인 아니면 경제적인 목적을 가진 이러한 공격들을 좀 배운 사람들은 state-sponsored attack이라고 부르기도 한다. 한마디로 어느 정도 규모의 funding을 할 수 있는 state들 (즉, 국가, 정부)이 스폰서를 서 주는 공격이라는 것이다. 스타트업 하나 굴리는 데에도 일년에 드는 돈이 최소 몇억에서 수십억인데, 이렇게 정교한, 때로는 0-day 익스플로잇을 돌릴 수 있는 공격자들을 고용하고, 익스플로잇을 구매하고 장기적인 operation을 돌리려면 거기에 드는 돈은 그 이상이 될것이다. 이러한 공격자들이 특히나 정부나 군에서 만든 가짜 회사의 종업원이라는 사실 또한 특기할 만하다.

지피지기라는 말이 괜히 있는 것이 아니다. 적에 대해서 더 알면 알수록 더 방어하기는 수월해진다. 공격자들에게는 이미 해킹이 full time job이다. 공격자의 입장에서는 하지만, 자신들이 쓰는 툴베이스나 공격 방식이나 C2 서버 군들을 매번 바꾸는 것은 거의 불가능에 가까운 일이다. 따라서 그들에 대한 최대한 정보를 수집하고 이를 디텍션에 활용하는 지혜를 가지는 것이 중요하다. 모든 곳을 다 막을 수 없다. 막는 것도 센스 있게 적들의 행동에 대한 정보를 수집하면서 할 필요가 있다. 바로 이는 Threat Intelligence의 중요성과도 연관이 된다. 만약 특정 APT 그룹의 타겟이 되고 있는 회사나 기관 부서가 그 타겟 그룹의 행동을 모른다면, 먼저 어떠한 방어 기제를 가진 제품을 사용해야 하는지 부터 결정하기 힘들어서 중구 난방이 될 가능성이 있고, 두번째 어떠한 이벤트나 증상에 포커스 해야 하는지 모르기 때문에 결국 인력들의 맨파워를 쓸데 없는 부분을 방어하는데에 낭비할 수 있다.

이제 액터들에 대해서 공부하고, 연구하는 것은 기업의 사이버 방어 전략 수립에 필수적인 과정이다. 특히나 라자루스를 비롯한 굉장히 창의적인 해킹 기법들을 사용하는 그룹들이 왕성하게 활동하는 지역에 자신의 기업과 조직이 존재한다면 말이다.

*참치콘 예약 정책: 다음 링크에 들어가서 참가 신청 가능하고, 참가자 신분 확인 절차 거칠 예정입니다. 참치콘에서 공유된 정보는 외부에 공개 불가하고, 다만 기업 내 환경에서 적용과 팀내 공유는 가능합니다.

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82DescriptionTicket

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30주제 비밀 (특정 액터 연구)hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

May/9/2019 (Thr) – Technical Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:20The Hitchhiker’s Guide to the Cloud SecurityJune Park
17:2018:10Automatic Decoding of Highly Obfuscated PowerShell CodeMatt OhDescriptionTicket
18:1018:40Non-ActiveX + IOT = OLLEH 🙂XXXXXDescriptionTicket
18:4019:00Tea break/buffer
19:0019:50Practical Threat HuntingsommaDescriptionTicket
20:0020:50Betrayal of Reputation: Trusting the Untrustable Hardware and Software with ReputationSeunghun Han
21:0021:50Recent Android Kernel Exploitation: KNOX Kernel Mitigation Bypassesx82

May/10/2019 (Fri) – Intelligence Sessions

Full day ticket

StartEndNameSpeakerDescription
17:0017:504차 산업혁명시대 지능형 제어기기 보안Jungmin KangTicket
18:0018:50Do not blame your parents: from plastic spoon to personal TI environmentEMNSTRDescriptionTicket
19:0019:30 주제 비밀 (특정 액터 연구)
hypenTicket
19:3020:00해커그룹 004 의 공격패턴과 특징, 그리고 흔적JC Lee
20:0020:50PE보다 스크립트 – 핵인싸 악성코드의 진단 우회방식jzDescriptionTicket
21:0021:50Tick Tock Tick tock – Tick 그룹의 동아시아 지역 10년 활동mstoned7Ticket

* 참치콘 스케쥴표: https://darungrim.com/intelligence/Chamichicon-2019-05.html

참치콘 CFP 서브미션은 다른그림 사이트를 참조하거나 다음 폼을 사용해 주세요.

Leave a Reply