파이어아이는 8월 22일 오전, 서울시 삼성역에 위치한 글라스 타워에서 최신 사이버 위협 인텔리전스 및 베로딘 인수 발표 기자간담회를 개최했다.

이번 행사는 파이어아이의 에릭 호(Eric Hoh) APAC 총괄 사장, 파이어아이 코리아의 김반옥 상무를 비롯한 관계자가 참석한 가운데, ‘APT41’에 대한 소식과 ‘베로딘’을 인수한 내용을 발표하기 위해 마련됐다.

파이어아이의 에릭 호(Eric Hoh) APAC 총괄 사장은 이 날 행사를 통해 ‘APT41’의 사이버 첩보 활동과 사이버 범죄 행위, 시큐리티 인스트루먼테이션 기술(Security instrumentation technology)을 가진 ‘베로딘(Verodin)’을 인수한 배경에 대해 발표했다.

▲ 파이어아이 에릭 호(Eric Hoh) APAC 총괄 사장

▲ ‘APT41’은 재정적인 동기를 가지고 개인적 이익을 위한 사이버 활동을 수행하는 중국 기반의 사이버 공격 그룹이다.

발표에 따르면 ‘APT41’은 재정적인 동기를 가지고 개인적 이익을 위한 사이버 활동을 수행하는 중국 기반의 사이버 공격 그룹으로, 개인 대상 사이버 첩보 활동과 재정 갈취 목적의 사이버 범죄를 행해왔다. 이렇게 두 가지 이중적인 목표를 가진 것은 특수한 경우라고 소개됐다. 사이버 첩보 활동을 통해서는 헬스케어, 하이테크, 통신 분야 등을 표적으로 2015년까지 지적재산권을 탈취했고, 주로 비디오 게임 업계에서 재정 갈취를 목적으로 소스코드 및 디지털 인증을 탈취하거나 랜섬웨어 유포, 가상화폐를 조작하는 등의 사이버 범죄도 저질러 왔다.

공급망 공격 케이스로는 지난 2018년 6월, ASUS 업데이트 서버에 대한 공격이 있었다. 전세계적으로 ASUS 사용자 중 5만개의 시스템이 감염됐고, 그 기간 동안 업데이트를 한 유저는 모두 공격을 받은 것으로 확인됐다. 하지만 파이어아이의 역설계를 이용해 분석해 코드를 확인한 결과, 총 5만개 시스템 공격 중 활성화된 코드는 약 600개로, 해당 코드는 특정 시스템에서만 동작하도록 디자인되어 특정 타겟을 공격했다는 것과 고도화된 기술과 툴을 가진 공격자 그룹이라는 것이 알려지게 됐다.

‘APT41’은 사이버 스파이 활동에 있어 미디어, 감시, 텔레콤, 여행, 호텔 및 숙박 업계를 대상으로 금전적 취득을 위해 비디오 게임 업계는 물론 가상화폐거래소도 공격했다. 활동 시간 분석 결과, 낮에는 사이버 첩보 활동을, 밤에는 사이버 범죄 활동을 한 것으로 드러났으며, 주로 활동시간대가 중국의 근무 시간대와 유사한 점이 발견됐다. 이를 통해 ‘APT41’의 전술 및 도구는 창의적이고 풍부한 리소스를 바탕으로 대규모 멀웨어 저장소를 가지고 있으며, 리눅스와 윈도우의 사용이 능숙한 것으로 파악됐다.

공격의 타겟이 된 산업군과 국가도 다양하다. 미국, 인도, 미얀마, 남아프리카공화국, 영국, 한국 등을 비롯한 전세계 14개 이상의 국가 시스템을 공격한 데 이어 공격 분야는 교육, 미디어, 헬스케어, 에너지, 비디오 게임 업체 등으로, 2012년 발견 이후 지난 7년간 다양한 산업군과 국가에 공격을 가해왔다.

▲ 공급망 공격 케이스로는 지난 2018년 6월, ASUS 업데이트 서버에 대한 공격이 있었다.

▲ ‘APT41’의 타겟, 도구 및 전술

이어서 지난 5월 인수한 ‘베로딘’에 대해 에릭 호 APAC 총괄 사장은 “모든 업종에서 기업들은 비즈니스 연속성과 중요한 자산에 의존하여 경쟁 우위를 확보하고 수익을 창출하며, 주주 가치를 보호하고 서비스를 제공한다. 그 결과 많은 기업이 이러한 자산을 보호하기 위해 막대한 투자를 하고 압박을 받는다.”며, “이 때 사이버 보안 영역에 있어 ‘베로딘’은 보안이 비즈니스에 미치는 영향을 검증하고 정량화 하여 기업을 돕는 역할을 한다.”고 설명했다.

‘베로딘’은 효율성, 최적화, 합리화, 알려진 베이스라인의 네가지 핵심 가치를 가진다. 효율성 측면에서는 컨트롤이 기대한대로 작동이 되는지, 구성이 올바르게 되었는지를 확인하고, 최적화를 통해 투자 금액의 효과를 높일 수 있는지, 기존 툴의 가치를 잘 활용하고 있는지, ROI를 극대화하고 있는지 알 수 있다. 또한 합리화 과정으로 중복되는 부분과 부족한 부분을 파악하고 스택에서 도구를 제거하거나 환경을 단순화할 수 있는지 확인할 수 있으며, 알려진 베이스라인으로는 기업이 가진 보안 기제를 검증해 주위 환경이 변화하면 확인 및 탐지가 가능하고, 고객사에게 전달해 당사 시스템을 최적화할 수 있다.

이와 함께 ‘베로딘’은 바이러스 감염 방지, 침해 방지, 방화벽 등 여러 보안 시스템 툴을 보유하고, 시스템의 뇌 역할을 하는 ‘베로딘 디렉터’는 회사의 주요 기술이 적용되어 커뮤니케이션을 한다. ‘베로딘 디렉터’는 특정 회사가 배포한 보안 기술에 대해 검증을 하고, 위협 인텔리전스를 바탕으로 해당 조직 네트워크 밖에 있는 액터에게 트래픽을 전달한다. 다양한 회사에서 구축한 시스템 기술에 대한 쿼리를 하나하나 확인하므로 ‘베로딘’을 활용해서 회사 내에 구축한 보안 기술이 효과적으로 운영되고 있는지도 확인할 수 있다.

에릭 호 APAC 총괄 사장은 “파이어아이는 앞으로 수 개월에 걸쳐 ‘베로딘’ 포트폴리오를 자사에 통합해 더 많은 혁신을 구축하고 나아가 하나의 파이어아이 서비스로서 제공할 계획이다.”라며, “‘베로딘’ 인수를 통해 분 단위 공격에 대한 해결이 가능 해졌기 때문에 파이어아이가 진정한 사이버 보안 분야의 리더가 될 수 있을 것”이라고 강조했다.

▲ ‘베로딘’은 효율성, 최적화, 합리화, 알려진 베이스라인의 네가지 핵심 가치를 가진다.

▲ 파이어아이는 앞으로 수 개월에 걸쳐 ‘베로딘’ 포트폴리오를 자사에 통합한다.

Copyright ⓒ Acrofan All Right Reserved.