기사를 쓰기 위해 취재한 내용이 100이라면, 이 중 실제 기사로 나오는 건 일부분이다.
그 이유야 여러 가지.
-시간이 너무 지나버려서 News라고 하기엔 민망한 상황이 돼버렸을 때.
-그냥 멘탈이 깨졌을 때.
-취재 결과를 아무리 끌어모아도 하나의 기사를 쓰기엔 너무 허접할 때.
-내가 취재한 내용이 생각해둔 야마까지 동일하게 다른 언론사에서 먼저 다뤄버렸을 때 등.
그리하여 기사로 탄생하지 못한 기사 재료들이 차곡차곡 메일함, 음성 메모함, 에버노트에 쌓이고 만다.
하나의 완성품이 되지 못한 그 재료들이 아까워 이 포스팅을 남긴다.
사흘 전 파이어아이가 '[참고자료] 파이어아이, 북한의 미국 전력 회사 대상 스피어피싱 공격 포착'라는 제목의 이메일을 보냈다. 기사거리가 없던 차에 메일을 냉큼 열어보았는데 손에 잡히는 팩트가 하나도 없는 자료였다.
그 내용은 이렇다.
파이어아이, 북한의 미국 전력 회사 대상 스피어피싱 공격 포착
2017년 10월 12일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)는 지난 9월 22일 북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 미국의 전력 회사로 발송 한 스피어피싱 이메일을 발견 해 차단했다고 밝혔다.
최근, 파이어아이는 한국의 전기 시설을 위협하는 북한 정부와 연계된 해킹 그룹을 탐지한 바 있는데, 해당 공격의 경우에도 전력 중단을 초래하지는 않았다.
이번 공격은 정찰의 초기 단계로 파괴적 위협을 초래 할 수 있는 심각한 수준의 사이버 공격은 아닌 것으로 밝혀졌다. 전력 공급을 제어하는 산업제어시스템(Industrial Control Systems, ICS) 네트워크를 위협하거나 조작하기 위한 목적으로 설계된 특정 해킹 툴 또는 방법은 확인되지 않았으며, 그러한 접근을 시도한 증거 또한 발견되지 않았다.
일부 국가들의 경우 국가간 긴장이 고조되는 시기에 종종 인텔리전스를 수집하고 만일의 사태에 대비하기 위해 사이버 스파이 활동을 감행하기도 한다. 파이어아이는 최소 4개 국가로부터 지원을 받은 20 여 개의 사이버 위협 그룹을 발견했으며, 이들은 에너지 업계를 공격하려는 시도하여 파괴적인 영향력을 발휘하려 한 것으로 드러났다. 이번 북한 공격자들의 경우 에너지 관련 업계를 공격하는데 필요한 추가적인 기술을 사용하거나 그러한 기술을 보유하고 있는 것으로 확인되지는 않았다.
북한 정부와 연계된 해킹 그룹은 매우 과감하며, 자국의 공격 역량 및 의지를 과시하기 위해 다수의 사이버 공격을 감행했다.
최근, 전력 공급망을 타겟으로 한 사이버 공격 역량을 키우는 국가들이 늘어나고 있는 가운데, 북한의 경우, 전력 회사를 대상으로 한 제한적인 공격 또한 큰 성과로 과장해 선전할 가능성이 높다.
북한 연계 해커들은 미국 및 한국뿐만이 아닌 전 세계의 금융 시스템을 공격하고 있다. 그들의 공격 동기는 경제적 목적부터 사보타주를 위한 전통적인 스파이 행위까지 다양하다. 다만, 모든 공격은 국제적 규범을 위반하고 사이버 공격 능력을 과시하려 한다는 점에서 동일한 특징을 보이고 있다.
위 자료에는 결정적으로 파이어아이가 스피어피싱 공격이 북한 연계 해킹 그룹의 소행이라고 판단한 근거가 없다. 공격 그룹도 애매하게 '북한 정부 연계 그룹'이라고만 서술돼 있다. 고구마를 천 개 먹은 듯한 답답함이 밀려온다.
파이어아이 측에 물어보니, 그 판단의 근거는 "이번 공격이 이전에 북한 소행 해킹 공격과 유사한 공격법이기 때문"이란다. 그렇다면 다시 궁금증이 생긴다. 그 이전 해킹 사건은 무엇이며 이것을 북한 소행이라고 본 판단의 근거는 무엇인가? 결국 속시원한 답을 얻지 못해 질문만 남긴채, 나는 이 자료를 기사화하지 못했다.
그리고 오늘 파이어아이 측으로부터 질문에 대한 답변을 받았다.
-나 (질문)
=파이어아이 (답변)
-북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 '템프허밋'을 가리키는 것인가?
=그렇다. 사이버 공격 그룹 템프허밋이 북한과 연계된 것으로 보고 있다.
Yes, we believe TEMP.Hermit is linked to North Korea.
-파이어아이가 '템프허밋'을 북한 정부 연계 해커 그룹으로 보는 근거는 무엇인가?
=사이버 공격 그룹 템프허밋은 2013년부터 활동해온 것으로 보인다. 주로 한국을 공격 대상으로 삼고 있기만, 전 세계적으로 북한과 연관이 있는 국가 및 기관들을 공격한 것을 포착했다. 파이어아이는 북한에 적대적이며 위협이 되는 국가에 대한 전략적 인텔리전스를 수집하는 것을 템프허밋의 1차적 공격 목적으로 보고 있다.
템프허밋을 북한과 연계된 그룹으로 보고 있는 이유에는 몇 가지가 있다. 우선, 한국을 집중 공격 대상으로 삼았다. 둘째로, 멀웨어에서 한국어가 사용됐으며 이는 프로그래머가 한국어 사용자임을 나타낸다.
TEMP.Hermit a cluster of cyber espionage activity that has been active since at least 2013. While the group primarily targets entities in South Korea, we have also observed targeting of entities linked to North Korean affairs worldwide. As such, we believe that the group's primary mission includes the collection of strategic intelligence against countries that would benefit North Korean interests and dissident activity deemed a threat to the regime.
We attribute TEMP.Hermit's activity to North Korea due to multiple factors, including Korean-language artifacts in malware and a targeting focus on South Korea. Multiple pieces of TEMP.Hermit malware have had Korean-language
artifacts, indicating that the programmers were likely Korean-language speakers
-미국 전력 회사로 이와 같은 사이버 공격이 포착된 것은 처음 있는 일인가?
=아니다. 이전에도 러시아, 중국 및 이란 등에서 정찰 목적으로 미국의 기반 시설을 대상으로 사이버 공격을 감행한 바 있다.
No, in the past we have observed multiple adversaries, including Russian, Chinese, and Iranian cyber espionage actoractors, target U.S. infrastructure in probing reconnaissance activity. Furthermore, the loud targeting of U.S. utilities could also be an end in itself, as a demonstration of the potential threat posed by North Korea's cyber capabilities.
-북한 정부와 연계됐다고 본 근거가 무엇인가?
=이번 사건의 경우, 스피어피싱 문서에 멍치키체리(MONKEYCHERRY) 멀웨어를 사용했다. 이는 템프허밋만의 고유한 멀웨어로 피스커피(PEACECOFFEE)라 알려진 템프허밋 페이로드의 변형이다.
In this incident, the spearphishing document leveraged MONKEYCHERRY malware unique to TEMP.Hermit to deliver a variant of a TEMP.Hermit payload known as "PEACECOFFE.” PEACECOFFEE is a backdoor that leverages SSL for C&C, and it gives operators the ability to upload files, download files, run arbitrary commands, and conduct limited recon/fingerprinting of an infected system
-북한 정부 연계 해커 그룹이 사용하는 공격 기법을 다른 해커 그룹이 따라할 가능성은 없나?
=위 답변 참조
그 이유야 여러 가지.
-시간이 너무 지나버려서 News라고 하기엔 민망한 상황이 돼버렸을 때.
-그냥 멘탈이 깨졌을 때.
-취재 결과를 아무리 끌어모아도 하나의 기사를 쓰기엔 너무 허접할 때.
-내가 취재한 내용이 생각해둔 야마까지 동일하게 다른 언론사에서 먼저 다뤄버렸을 때 등.
그리하여 기사로 탄생하지 못한 기사 재료들이 차곡차곡 메일함, 음성 메모함, 에버노트에 쌓이고 만다.
(눙물...내 능력을 탓한다..)
하나의 완성품이 되지 못한 그 재료들이 아까워 이 포스팅을 남긴다.
사흘 전 파이어아이가 '[참고자료] 파이어아이, 북한의 미국 전력 회사 대상 스피어피싱 공격 포착'라는 제목의 이메일을 보냈다. 기사거리가 없던 차에 메일을 냉큼 열어보았는데 손에 잡히는 팩트가 하나도 없는 자료였다.
그 내용은 이렇다.
파이어아이, 북한의 미국 전력 회사 대상 스피어피싱 공격 포착
2017년 10월 12일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)는 지난 9월 22일 북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 미국의 전력 회사로 발송 한 스피어피싱 이메일을 발견 해 차단했다고 밝혔다.
최근, 파이어아이는 한국의 전기 시설을 위협하는 북한 정부와 연계된 해킹 그룹을 탐지한 바 있는데, 해당 공격의 경우에도 전력 중단을 초래하지는 않았다.
이번 공격은 정찰의 초기 단계로 파괴적 위협을 초래 할 수 있는 심각한 수준의 사이버 공격은 아닌 것으로 밝혀졌다. 전력 공급을 제어하는 산업제어시스템(Industrial Control Systems, ICS) 네트워크를 위협하거나 조작하기 위한 목적으로 설계된 특정 해킹 툴 또는 방법은 확인되지 않았으며, 그러한 접근을 시도한 증거 또한 발견되지 않았다.
일부 국가들의 경우 국가간 긴장이 고조되는 시기에 종종 인텔리전스를 수집하고 만일의 사태에 대비하기 위해 사이버 스파이 활동을 감행하기도 한다. 파이어아이는 최소 4개 국가로부터 지원을 받은 20 여 개의 사이버 위협 그룹을 발견했으며, 이들은 에너지 업계를 공격하려는 시도하여 파괴적인 영향력을 발휘하려 한 것으로 드러났다. 이번 북한 공격자들의 경우 에너지 관련 업계를 공격하는데 필요한 추가적인 기술을 사용하거나 그러한 기술을 보유하고 있는 것으로 확인되지는 않았다.
북한 정부와 연계된 해킹 그룹은 매우 과감하며, 자국의 공격 역량 및 의지를 과시하기 위해 다수의 사이버 공격을 감행했다.
최근, 전력 공급망을 타겟으로 한 사이버 공격 역량을 키우는 국가들이 늘어나고 있는 가운데, 북한의 경우, 전력 회사를 대상으로 한 제한적인 공격 또한 큰 성과로 과장해 선전할 가능성이 높다.
북한 연계 해커들은 미국 및 한국뿐만이 아닌 전 세계의 금융 시스템을 공격하고 있다. 그들의 공격 동기는 경제적 목적부터 사보타주를 위한 전통적인 스파이 행위까지 다양하다. 다만, 모든 공격은 국제적 규범을 위반하고 사이버 공격 능력을 과시하려 한다는 점에서 동일한 특징을 보이고 있다.
위 자료에는 결정적으로 파이어아이가 스피어피싱 공격이 북한 연계 해킹 그룹의 소행이라고 판단한 근거가 없다. 공격 그룹도 애매하게 '북한 정부 연계 그룹'이라고만 서술돼 있다. 고구마를 천 개 먹은 듯한 답답함이 밀려온다.
파이어아이 측에 물어보니, 그 판단의 근거는 "이번 공격이 이전에 북한 소행 해킹 공격과 유사한 공격법이기 때문"이란다. 그렇다면 다시 궁금증이 생긴다. 그 이전 해킹 사건은 무엇이며 이것을 북한 소행이라고 본 판단의 근거는 무엇인가? 결국 속시원한 답을 얻지 못해 질문만 남긴채, 나는 이 자료를 기사화하지 못했다.
그리고 오늘 파이어아이 측으로부터 질문에 대한 답변을 받았다.
-나 (질문)
=파이어아이 (답변)
-북한 정부와 연계된 것으로 보이는 사이버 공격 그룹이 '템프허밋'을 가리키는 것인가?
=그렇다. 사이버 공격 그룹 템프허밋이 북한과 연계된 것으로 보고 있다.
Yes, we believe TEMP.Hermit is linked to North Korea.
-파이어아이가 '템프허밋'을 북한 정부 연계 해커 그룹으로 보는 근거는 무엇인가?
=사이버 공격 그룹 템프허밋은 2013년부터 활동해온 것으로 보인다. 주로 한국을 공격 대상으로 삼고 있기만, 전 세계적으로 북한과 연관이 있는 국가 및 기관들을 공격한 것을 포착했다. 파이어아이는 북한에 적대적이며 위협이 되는 국가에 대한 전략적 인텔리전스를 수집하는 것을 템프허밋의 1차적 공격 목적으로 보고 있다.
템프허밋을 북한과 연계된 그룹으로 보고 있는 이유에는 몇 가지가 있다. 우선, 한국을 집중 공격 대상으로 삼았다. 둘째로, 멀웨어에서 한국어가 사용됐으며 이는 프로그래머가 한국어 사용자임을 나타낸다.
TEMP.Hermit a cluster of cyber espionage activity that has been active since at least 2013. While the group primarily targets entities in South Korea, we have also observed targeting of entities linked to North Korean affairs worldwide. As such, we believe that the group's primary mission includes the collection of strategic intelligence against countries that would benefit North Korean interests and dissident activity deemed a threat to the regime.
We attribute TEMP.Hermit's activity to North Korea due to multiple factors, including Korean-language artifacts in malware and a targeting focus on South Korea. Multiple pieces of TEMP.Hermit malware have had Korean-language
artifacts, indicating that the programmers were likely Korean-language speakers
-미국 전력 회사로 이와 같은 사이버 공격이 포착된 것은 처음 있는 일인가?
=아니다. 이전에도 러시아, 중국 및 이란 등에서 정찰 목적으로 미국의 기반 시설을 대상으로 사이버 공격을 감행한 바 있다.
No, in the past we have observed multiple adversaries, including Russian, Chinese, and Iranian cyber espionage actoractors, target U.S. infrastructure in probing reconnaissance activity. Furthermore, the loud targeting of U.S. utilities could also be an end in itself, as a demonstration of the potential threat posed by North Korea's cyber capabilities.
-북한 정부와 연계됐다고 본 근거가 무엇인가?
=이번 사건의 경우, 스피어피싱 문서에 멍치키체리(MONKEYCHERRY) 멀웨어를 사용했다. 이는 템프허밋만의 고유한 멀웨어로 피스커피(PEACECOFFEE)라 알려진 템프허밋 페이로드의 변형이다.
In this incident, the spearphishing document leveraged MONKEYCHERRY malware unique to TEMP.Hermit to deliver a variant of a TEMP.Hermit payload known as "PEACECOFFE.” PEACECOFFEE is a backdoor that leverages SSL for C&C, and it gives operators the ability to upload files, download files, run arbitrary commands, and conduct limited recon/fingerprinting of an infected system
-북한 정부 연계 해커 그룹이 사용하는 공격 기법을 다른 해커 그룹이 따라할 가능성은 없나?
=위 답변 참조
0 Comments
Post a Comment