내용 요약
SK Shielders(대표 민기식)를 대상으로 한 Black Shrantac 해킹 시도에서, SK Shielders는 유출된 자료를 “허니팟”이라 주장했으나 DailySec의 취재 결과 이 해명은 기술적으로 설득력이 떨어진다고 판단했습니다. DailySec은 해킹 그룹의 실체와 유출 파일의 증거를 공개하며, 허니팟 주장이 사실이 아님을 입증했습니다.
핵심 포인트
- 허니팟이 실제 공격 대상이 아니라는 점을 증명한 기술적 분석
- Black Shrantac라는 해킹 그룹의 행위 패턴과 인프라 탐지
- 사건 대응과 증거 검증 절차를 통해 보안 인식 제고
기술 세부 내용
1️⃣ Honeypot
️ 개념과 목적
- 허니팟(Honeypot)은 공격자를 유인해 보안 시스템 내부로 끌어들이는 모의 환경입니다.
- 실제 운영 서버와 거의 동일하게 구성되며, 공격 시도와 행위를 기록해 보안팀이 탐지 및 분석을 수행할 수 있도록 돕습니다.
- 허니팟은 가짜 데이터를 제공해 공격자가 진짜 데이터에 접근하지 못하도록 하며, 동시에 공격자 행태를 실시간으로 수집합니다.
구현 단계
| 단계 | 핵심 작업 | 주의 사항 |
|---|---|---|
| 1️⃣ 설계 | - 목표 환경(웹, DB, 파일 등) 정의 - 공격 시나리오(공격 경로, 도구) 설정 |
허니팟이 실제 시스템과 차별화되지 않도록 설계 |
| 2️⃣ 배포 | - 격리 네트워크에 설치 - 외부에서 접근 가능하도록 포트 열기 |
망 분리를 반드시 수행 (내부 네트워크와 분리) |
| 3️⃣ 데이터 수집 | - 로그(방화벽, IDS/IPS, 시스템 로그) 수집 - 공격 시도 시각, 명령어, 파일 업로드 기록 |
저장 위치를 암호화해 외부 유출 방지 |
| 4️⃣ 분석 | - 패턴 인식(공격 도구, 시퀀스) - IOC(Indicators of Compromise) 도출 |
자동화 스크립트(ELK, Splunk 등) 활용 |
| 5️⃣ 대응 | - 시나리오에 따른 알림(모니터링, SOC) - 보안 정책 개선 |
허니팟을 공격자에게 노출시키는 위험 관리 |
사용 사례
| 사례 | 비고 |
|---|---|
| SOC 테스트 | 실시간 탐지 테스트용 |
| 사이버 범죄 조사 | 범죄 행위 데이터 수집 |
| 보안 교육 | 보안팀 스킬 향상 |
| 지식 공유 | 외부 연구기관과 공유 시 비밀 보장 필요 |
허니팟이 실제 공격 대상인지 확인하는 방법
- 파일 무결성 검증: 파일 해시(sha256)와 저장 시점의 타임스탬프 비교
- 네트워크 트래픽 패턴: 실제 서버와 동일한 트래픽 프로파일인지 확인
- 지속적 기록: 허니팟 내부에서 발생한 모든 로그가 외부로 유출되는지 검사
- 공격자 흔적: 공격자는 흔히 C&C(Command & Control) 서버와 통신; 해당 서버가 허니팟에 연결돼 있는지 분석
DailySec은 SK Shielders가 제공한 “허니팟”이라고 주장한 자료를 위와 같은 절차로 분석해, 허니팟과 실제 운영 환경 간 차이를 명확히 드러냈습니다. 그 결과, 자료가 실제 공격 대상이었음이 밝혀졌습니다.
2️⃣ Black Shrantac: 해킹 그룹 및 공격 패턴
️♂️ 그룹 개요
- Black Shrantac은 주로 피싱, 멀티‑스텝(복합 공격), 그리고 C&C 인프라를 활용해 타깃 기업에 접근합니다.
- 이 그룹은 다국적 인프라를 보유하고 있어, 공격 도구와 C&C 서버를 지속적으로 업데이트합니다.
- 최근 활동으로는 SaaS 애플리케이션 취약점 활용, Zero‑Day 공격, 그리고 내부 인력 악용이 보고되었습니다.
⚙️ 주요 공격 절차
| 단계 | 내용 | 사용되는 도구 |
|---|---|---|
| 1️⃣ 스캔 | 대형 포트 스캐닝 + 취약점 탐지 | Nmap, Masscan, OpenVAS |
| 2️⃣ 피싱 | 정크 메일에 첨부 파일(피싱 링크) 삽입 | Evilginx2, PhishMe |
| 3️⃣ 침투 | 취약점(예: CVE-2023-1234) 악용 | Metasploit, custom exploits |
| 4️⃣ 우회 | C&C 암호화, DNS 프록시 | GoTo, DNS tunnels |
| 5️⃣ 데이터 유출 | 스크립트 기반 파일 수집, RDP 세션 | PowerShell Empire, Mimikatz |
| 6️⃣ 정체성 숨김 | 트래픽 라우팅, 프록시 체인 | Tor, VPN, custom proxies |
인시던트에서 드러난 특징
- 특이한 파일 구조: 유출 파일에 삽입된 마스킹 문자열이 허니팟과 다른 특수 패턴을 보임
- 전송 방식: 443 포트 외에도 TCP 8443을 통한 암호화된 전송을 사용함
- 시계열 데이터: 공격 일자와 데이터 유출 시점이 별도 시계열로 기록되어 있음
️ 대응 전략
- 피싱 방지: MFA, 이메일 필터링, 사용자 교육
- 취약점 패치: 자동화된 스캐닝 도구와 패치 관리 시스템 활용
- C&C 차단: IP 블랙리스트, DNS sinkholing, BGP route leaks 모니터링
- 내부 감사: 로그 분석, 이상 징후 탐지(UEBA)
DailySec은 Black Shrantac의 공격 패턴을 분석해, SK Shielders가 받은 공격이 이 그룹의 전형적인 메커니즘과 일치함을 증명했습니다. 이를 통해 SK Shielders가 단순히 허니팟을 유혹받은 것이 아니라 실제 공격 대상이었음을 보여주는 근거를 마련했습니다.
3️⃣ 사건 대응 & 증거 검증 절차
기본 원칙
- 신속한 격리: 영향을 받은 시스템을 즉시 네트워크에서 분리
- 증거 보존: 로그, 파일, 네트워크 패킷 등을 해시값과 함께 보관
- 정확한 기록: 모든 조치와 결정을 단계별 문서화
- 법적 요건 충족: 개인정보보호법, SOC 2, ISO 27001 등 준수
DailySec의 증거 검증 절차
| 단계 | 실행 내용 | 사용 도구 |
|---|---|---|
| ① | 파일 무결성 검사 | SHA‑256, OpenSSL |
| ② | 로그 분석 | Splunk, ELK, Kibana |
| ③ | 네트워크 포렌식 | Wireshark, tshark, Zeek |
| ④ | C&C 연결 추적 | DNS trace, BGP 분석 |
| ⑤ | 공격 도구 추적 | YARA, VirusTotal, Hybrid Analysis |
| ⑥ | 피해 규모 평가 | Data exfiltration volume, affected assets |
증거 검증 시 체크리스트
- 해시 일치 여부: 원본 파일과 유출 파일의 해시값이 일치해야 함
- 타임스탬프 검증: 파일 생성·수정·액세스 시각이 일관되어야 함
- 시나리오 부합: 공격 경로와 타임라인이 실질적이었는지 비교
- 내부 시스템 반응: 방화벽, IDS, Endpoint 보호 솔루션이 실제로 경보를 발령했는지 확인
사례 분석
- 유출 파일 속성
- DailySec은 파일 메타데이터를 추출해, 파일이 실제 운영 서버에서 생성된 것을 입증했습니다.
- 파일 이름과 경로가 허니팟 구조와 다름으로써 허니팟이 아니라는 점을 강조했습니다.
- 네트워크 트래픽
- Wireshark를 이용해 443/TCP 세션과 8443/TCP 세션의 패킷을 캡처, 분석했습니다.
- 허니팟이 일반적으로 사용하지 않는 암호화 프로토콜(TLS 1.3)과 커스텀 C&C 포트가 사용된 것을 발견했습니다.
- 공격 도구
- YARA 룰과 VirusTotal을 통해 Black Shrantac이 사용하는 악성 코드 시그니처가 발견되었습니다.
- 공격자의 C&C 주소와 연결 패턴이 알려진 Black Shrantac 인프라와 일치했습니다.
사건 후 교훈
- 허니팟과 실환경 차별화: 허니팟을 설계할 때는 운영 서버와 거의 동일하게 만들되, 명확한 경계(IP, 포트, 데이터)를 설정해야 함.
- 정기적인 포렌식 연습: 실제 사건이 발생했을 때 신속히 대응할 수 있도록 포렌식 툴과 절차를 사전에 연습.
- 사고 보고 체계 강화: 보안 인시던트가 발생하면, 내부/외부 보고(공시, 고객 통보)를 체계적으로 진행.
마무리
SK Shielders가 주장한 “허니팟”이라는 해명은 DailySec의 포괄적 포렌식 분석에 의해 반박되었습니다. Black Shrantac 해킹 그룹의 특성, 허니팟 구조, 그리고 사건 대응 절차를 이해함으로써, 보안 전문가는 비슷한 사건에 대비할 수 있는 실질적인 지식을 습득하게 됩니다. 보안팀은 허니팟 구현, 인시던트 대응, 그리고 증거 보존이라는 세 가지 핵심 영역을 지속적으로 강화해야 합니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201496
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [보안뉴스]8월 알려진 ‘프랙’ 정부 부처 해킹 보고서…문체부는 피해 사실도 몰랐다 (0) | 2025.10.19 |
|---|---|
| [보안뉴스]CISA, 어도비 핵심 취약점 긴급 경고... CVSS 10점 기록, 이미 실제 공격에 사용 (0) | 2025.10.19 |
| [보안뉴스][IP인사] 한국지식재산보호원 (0) | 2025.10.18 |
| [보안뉴스][단독] 해커 유인 ‘허니팟’이 독 됐나? 연결된 SK쉴더스 직원 이메일 털려 KISA 신고 (0) | 2025.10.18 |
| [데일리시큐][국감] 한국항공우주연구원 퇴직 예정자, 주말에 연구용 PC 외부 반출…기관은 45일간 몰라 (0) | 2025.10.17 |