러시아 해커는 어떻게 민주당 캠프를 해킹했나
스피어 피싱(spear phishing)에서 시작
2016년 미국 대선 당시 러시아 해커단은 민주당 캠프를 해킹해 30대 이상의 PC를 악성코드에 감염시키고, 5만 개 이상의 이메일을 훔쳐 트럼프 캠프를 도왔다는 혐의를 받고 있다. 아직까지 드러난 해킹 과정 중 중요한 부분만 간추리면 다음과 같다.2016년 3월, 힐러리 캠프의 의장인 존 포데스타에게 스피어 피싱 메일을 보내 구글 계정 로그인 정보를 알아냈다. 이를 이용해 5만 개 이상의 이메일을 탈취했다.
2016년 4월, 힐러리 캠프 멤버의 이름에서 한 글자만 뺀 가짜 계정을 만들어 30여 명의 스태프에게 스피어 피싱 메일을 보냈다. 이를 통해 알아낸 로그인 정보로 힐러리 캠프의 컴퓨터 네트워크에 접근할 권한을 획득했다. 그리고 X-Agent라는 악성코드를 심었다.
해커단은 X-Agent의 키로깅과 스크린샷 기능을 이용해 힐러리 캠프의 동향을 감시했다. 6월까지 총 33대의 DNC(민주당 전국 위원회) 컴퓨터를 감염시켰다.
2016년 5월, 민주당 측은 해킹 사실을 알아차리고 CrowdStrike라는 보안 회사를 고용했다. 해커단은 해킹 흔적을 지우는 한편 또다른 서버에 침입해 수천 개의 이메일을 훔쳐냈다. 또, 크라우드스트라이크에 대한 정보 수집에 나섰다.
2016년 6월, 해커단은 DCLeaks라는 사이트를 통해 수천 개의 이메일을 공개하고, 이 사이트를 지원하기 위해 트위터와 페이스북 계정을 이용했다. 크라우드스트라이크는 X-Agent를 무력화 시켰지만, 리눅스 버전은 10월까지도 살아남았다.
이상을 통해 2가지 핵심 사항을 알 수 있다.
첫째, 최초 해킹은 제로데이 취약점 이용같은 어렵고 효과도 확실치 않은 방법을 쓴 것이 아니라, 쉽고도 확실한 스피어 피싱(spear phishing)을 이용했다는 것이다. 그리고 그 유능하다는 인재들이 속아 넘어간다는 사실이다.
둘째, 악성코드에 일단 감염되면 제거는 무척 어렵다는 것이다. 크라우드스트라이크가 X-Agent를 완전히 제거하는 데 무려 4개월이 걸렸다.
관련 자료
참고 자료
댓글
댓글 쓰기