0. 주요 핵티비즘 그룹 조사 및 주요 전술 분석

• 핵티비즘 (Hacktivism)
  • 해킹 (Hacking) + 행동주의 (Activism)
  • 정치적 또는 사회적 목적을 위한 해킹
• 핵티비스트
  • 핵티비스트에 대한 합의된 정의가 아직 없고, 핵티비스트가 가지는 자발적 비국가 행위자 특성으로 이들의 실체를 명확히 규정하기는 어려움
  • 기존 보고서에서 나타난 국가 배후 사이버 단체를 배제
  • 스스로 핵티비스트라고 규정하는 행위자를 핵티비스트로 정의
  • 본 연구(Google Threat Analysis Group 링크)는 핵티비스트가 가지는 불특정성 그리고 이들의 사적 계약 관계에 대해서는 명확히 파악하지 못한다는 한계가 있으며, 행위자 특성 연구는 후속 연구 진행 필요

위협 인텔리전스의 세 가지 유형

1. 전략적 위협 인텔리전스

   • 사이버 보안 태세, 위협 및 비즈니스에 미치는 영향에 대한 고급 정보를 제공한다.

2. 전술적 위협 인텔리전스

   • 공격을 수행하는 데 사용되는 위협 행위자의 전술, 기술 및 절차(TTP)에 대한 정보를 제공한다.

3. 운영적 위협 인텔리전스

   • 조직에 대한 특정 위협에 대한 정보를 제공한다.

일반적인 인텔리전스 출처

• 개방형 소스 인텔리전스 (OSINT)

• 인간 정보 (HUMINT)

• 반정보 (CI)

• 내부 정보 (Internal Intelligence)

1. Anonymous Bangladesh

활동 이력

• 주요 공격 대상: 인도와 이스라엘 및 종교적, 정치적인 동기에 의해 촉발된 사건에 반응해 공격
• 활동 시기: 2023.10 ~
• 주요 사건
  • 인도 (인도 중앙 고등교육 위원회 시스템 공격, 2022.12)
  • 한국 (한국 정부부처 4곳, 2023.11)
  • 호주 (호주 이스라엘 대사관 웹사이트)

동향

• 공격 빈도 증가: 2023년 초부터 활동이 급증, 정부 기관과 대형 기업을 주요 타깃으로 삼음.
• 정치적 동기: 정부의 특정 정책에 반대하는 정치적 성향의 공격이 두드러짐.
• 공격 범위 확대: 주로 유럽과 북미 지역의 주요 인프라를 타깃으로 활동.

주요 전술

• DDoS 공격: 웹사이트 트래픽 과부하를 유발하여 주요 정부 기관의 시스템을 다운시킴. 또한 대규모 공격 전 테스트 공격을 거쳐 목표의 취약성을 사전에 확인하는 전략 사용.
• 웹사이트 변조: 웹사이트에 접근하여 내용을 정치적 또는 종교적 메시지나 이미지를 포함한 프로파간다로 변경. 변조를 통해 타깃이 된 조직을 공개적으로 망신시키고 방해함으로써, 그룹의 이념적 메시지를 전파하는 수단으로 사용함
• 데이터 유출: 기업의 기밀 데이터를 탈취하여 협박 및 공개, 공격의 정치적 목적 부각.

2. KillNet

• 주요 공격 대상: 러시아의 우크라이나 침공 반대자
• 활동 시기: 2023년
• 주요 사건
  • NATO 국가에 대한 광범위한 디도스(DDoS) 공격: NATO 국가들의 정부 기관 및 군사 관련 웹사이트를 대상으로 한 대규모 DDoS 공격을 주도(우크라이나 전쟁과 관련된 NATO의 대응에 반발하는 형태로 이루어짐).
  • 이스라엘 정부에 대한 사이버 공격 경고: 이스라엘을 목표로 하는 사이버 공격 경고 메시지를 게시하며, 이스라엘의 첩보 기관인 신베트(Shin Bet)의 웹사이트 일시적 폐쇄.
  • 이스라엘 교육부에 대한 사이버 공격 주장: 이스라엘 교육부를 대상으로 한 사이버 공격을 감행한다고 주장.

동향

• 로고 브랜드화: 해커 그룹으로서의 명성을 바탕으로 자신의 로고를 브랜드화하여 상품 판매를 시작했고, 상품 판매를 통한 자금 확보.
• 활동 전환: 2023년 5월 ‘민간군 해킹 업체’로 활동 전환(명칭 ‘Black Skills’).

주요 전술

• DDoS 공격: 악성 소프트웨어에 감염된 좀비 PC를 대거 동원해 특정 사이트에 동시 접속하도록 함.
• 정보 탈취 및 데이터 유출: 웹사이트 침해를 통해 민감한 정보를 무단으로 접근한 후 이를 유출하거나, 협박의 수단으로 사용해 압력을 가함.

3. RootK1t

• 주요 공격 대상: 정부, 글로벌 기업
• 활동 시기: 2023년
• 주요 사건
  • 말레이시아 타겟 공격: 말레이시아의 조직들을 대상으로 웹사이트 변조 및 데이터 유출 사건을 일으켰으며, RootK1t ISC 팀은 이 공격을 인터넷을 통해 예고하고 말레이시아의 인프라를 타겟으로 한 사이버 공격 감행.
  • Sodexo 위협 사건: 유럽 기반의 글로벌 기업 Sodexo를 타겟으로 한 위협(민감한 데이터에 대한 탈취 시도).
  • 레바논 정부 웹사이트 공격: 레바논 정부의 웹사이트를 지속적으로 공격하며 보안 취약점을 악용하여 사이트 변조 · 데이터 탈취.

동향

• 이슬람 국가 대상의 공격 활동: 말레이시아의 국가 인구 및 가족 개발 위원회(LPPKN) 데이터베이스 해킹(27TB 데이터 탈취).
• 이스라엘 지지 표명: 이슬람 국가들과 영토를 주요 타겟으로 삼고, 민감한 정보를 유출하는 공격 감행.

주요 전술

• 웹사이트 변조: 타겟 웹사이트의 콘텐츠를 변조하여 정치적 또는 사회적 메시지를 전달하고 공격 흔적을 남김.
• 데이터 탈취: 보안 취약점을 통해 무단으로 접근한 후 민감한 데이터를 탈취하고 이를 공개하거나 협박의 수단으로 사용.
• 보악 취약점 악용: 오래된 소프트웨어나 업데이트 되지 않은 시스템의 취약점을 공격해 무단 접근을 시도하고 이를 통해 데이터를 유출/시스템 장악.