2019년 9월 25일, 오전 10시부터 5시까지 그랜드 인터컨티넨탈 서울 파르나스 그랜드볼룸에서 Ahnlab ISF 2019가 개최되었습니다. Ahnlab ISF 2019는 안랩에서 주최하는 통합 보안 전략 컨퍼러스로서 Ahnlab에서 1년 동안 준비해온 보안 트렌드, 추적 공격 브랜드, 사이버 시큐리티 등을 설명하고 인사이트를 공유하는 자리였습니다. 안랩 기자단으로 참석하여 ISF 행사를 취재해보았는데요, 어떤 내용을 다뤘는지 함께 살펴볼까요?
AISF의 첫 순서는 키노트 스피치였습니다.
창립 24주년을 맞이하여, 안랩은 디지털 보안 리더로 성장하기 위해 자체적으로 많은 시도를 하고 있는데요, 권치중 안랩 대표는 안랩이 '고객과 함께 보안을 만들어간다'는 고객 만족의 핵심 가치를 실현하고자 노력하고 있다고 했습니다. 나아가 안전하고 성공적인 디지털 트랜스포메이션(Digital Transformation) 구축을 목표로 보안 담당자로서 책임감과 위협 대응 전략의 필요성을 역설했습니다.
Frost & Sullivan의 Kenny Yeo는 아시아의 사이버 보안 실태에 대해서 설명했습니다. 클라우드, IoT, 데이터 분석 등의 ICT 기술에 대한 보안 위협에 대한 자세한 설명과 더불어 고객의 시각에서 보안 컨버전스를 바라봐야 한다고 조언했습니다. 다음으로, EP사업기획실 이상국 상무는 엔드포인트의 가시성과 안랩이 고객들을 대하는 태도, 보안 ‘Response’의 오해와 진실에 대해 솔직한 이야기를 공유해줬습니다 .
AISF은 Track A와 Track B로 나뉘어 진행되었는데요, 저는 Trend/Technology & Service를 다룬 Track B에 참석하였습니다.
한국과 일본 넘나드는 틱(Tick) 그룹의 실체 (ASEC 분석연구팀 차민석 수석)
틱(Tick) 그룹을 들어보셨나요? 저는 이번 컨퍼런스에서 처음 들어보았는데요, 틱(Tick) 그룹은 지난 10년 간 한국과 일본의 기업 및 기관을 대상으로 공격하는 그룹입니다. 2014년 한국에서 발견된 틱(Tick) 그룹의 악성코드는 Spear Phishing, Watering Hole, USB Flash Driver, 자산관리 프로그램의 취약점을 공격합니다. 코드 내 쓰레기 코드를 추가해 분석 도구를 방해하는 기법을 사용하고 보안 프로그램 우회를 위한 50 MB 이상 거대 파일을 생성합니다.
공격자는 악성코드 Xxmm이라는 컨트롤러를 사용하고, 악성코드로는 Ghostdown(특성 사이트에서 도메인을 생성-평소에는 정상적인 도메인으로 설정하지만, 공격하는 시점에 IP를 변경하는 방식), Netboy(주요 문자열 XOR 0xC7로 암호화, 쓰레기 값을 추가해 분석을 방해), Datper (최근에 가장 많이 발견되는 악성코드, 코드 중간에 쓰레기 값 포함), Tickusb (한국에서만 발견된 악성 코드. usb에 있는 자료를 변형, 특정 영역 데이터 읽기 쓰기) 등이 있습니다.
이미 알려진 C2, Tonto Team 등의 해킹조직과 유사한 조직인지에 대한 의문점도 제기되고 있는데요, 이는 틱(Tick) 그룹이 기존 조직과 동일한 인코딩 방식을 사용하며 빌더의 UI와 화면이 유사하기 때문이라고 합니다. 틱(Tick) 그룹의 공격에 대비하기 위해선 공격 대상에 대해 보안 업체 간 협력과 국제 협력이 필요하다는 설명과 함께 이번 세션이 마무리되었습니다.
침해사고 분석: APT + Ransomware = CLOP (ASEC 분석연구팀 이명수 책임)
APT와 랜섬웨어의 차이점을 아시나요? APT는 은밀한 방식으로 장기간 잠복하며 주요 정보를 유출하지만, 랜섬웨어는 은밀함 대신 단기간에 주요 정보를 암호화한다는 큰 차이점이 존재합니다. APT 공격 방식과 랜섬웨어 감염을 합친 것이 새로 탄생한 CLOP 공격자라고 합니다. CLOP는 올해 2월 8일부터 등장하여, KISA에서도 2차례 공식적인 발표를 하였습니다. CLOP 공격은 원활한 파일 암호화를 위해 주요 서비스 및 프로세스를 종료시키거나 데이터 복구 방지를 위해 VSC(볼륨 섀도우 카피) 삭제, 백업 크기 설정, 부팅 설정 변경 등의 동작 방식을 취합니다. 또한, RC4 암호화 방식을 사용하고 ClopReadMe.txt라는 랜섬 노트를 통해 공격자와 협상을 통한 금액 선정 방식을 택하고 있습니다.
CLOP 공격자는 주로 개인이 아닌 기업을 대상으로 공격합니다. 전문가들은 공격자의 정체를 다양한 악성코드와 스피어피싱을 활용하는 러시아 해킹 그룹 TA505이라고 예상하고 있습니다. 동영상 시연으로 침해 시스템 분석을 통해 확인된 공격과정을 살펴보며 개인과 보안팀으로서의 대응방안과 파일 백업의 중요성을 느낄 수 있었습니다.
위협 인텔리전스(TI), 어떻게 활용할 것인가 (제품기획팀 김창희 팀장)
TI(Threat Intelligence)는 증거 기반의 지식으로서 대응을 위한 의사결정 지표를 보여줍니다. 1988년 마이크로 소프트웨어 잡지(안랩 주관)에서 세계 최초로 TI를 활용한 대응방안을 제시했는데요, 위협 정보 수집, 위협 정의 및 분석, 바이러스 영향도 및 사례, 대응 방안을 제시하는 순서로 이루어집니다.
위협 인텔리전스의 중심에는 V3가 있습니다. V3, V3 lite, V3 365, V3 MSS, V3 Mobile Security 등을 기반으로 정보를 수집하여 50여개 이상의 각종 제품, 서비스를 공급하고 있습니다. ASD(대용량 정보 클라우드 시스템)으로 수집하여 자동화 프로그램을 통해, 데이터를 분류, 정제하여 고객에게 대응하고 있고, EDR, Ahnlab MDS(악성 여부, 샌드 박스 기반 행위 패턴 분석 솔루션), EPP 등 다양한 보안 솔루션을 제공해주고 있습니다. 또한, Ahnlab은 ASEC 블로그를 통해 현재 화두가 되고 있는 악성 코드 분석 내용, 진단명과 행위탐지 진단명을 발표하고 있습니다. ASEC Report, CERT report를 통해 보안 이슈, 월간 공격 유형 통계 등 가이드 컨텐츠를 제공합니다. 위협 분석, 연계 분석, TI Portal을 제공하는 AhnLab Threat Intelligence Platform을 구축하는 것이 안랩의 향후 목표라고 합니다.
행사 쉬는 시간 마다 전시부스 관람 및 쇼케이스 이벤트를 진행하여 지루할 틈이 없는 보안 컨퍼런스였습니다. 이번 컨퍼런스에 참석하여, 최신 보안 동향과 디지털 트랜스포메이션에서의 보안 중요성, 보안실무자로서의 책임감을 알 수 있었습니다.
