APT 공격이란 무엇일까? APT(Advanced Persistent Threat) 공격은 오랜 기간에 걸친 지속적인 해킹 시도를 통해 개인정보와 같은 중요한 데이터를 유출하는 형태의 사이버 공격을 말한다.
APT 공격은 ‘초기침해-거점확보-권한확대-내부정찰-임무완수’ 등 다섯 단계로 진행된다. 먼저 ‘초기침해’에서는 표적에 대한 초기 접근을 하고, ‘거점확보’에서는 표적 내부에서 입지를 강화한다. ‘권한확대’에서는 유효한 사용자 계정을 유출, ‘내부정찰’에서는 표적 데이터를 확인한 뒤, 마지막으로 ‘임무완수’에서는 표적 데이터를 패키징해 유출하는 등 단계별로 다양한 공격 기술을 사용하고 있다.
APT 공격을 통해 달성하려는 목적을 살펴보면, 먼저 ‘방해’에서는 접근 및 확산을 목표로 봇넷이나 스팸을 보내게 되는데 보통 자동화로 이뤄진다. ‘데이터 절도’는 경제적·정치적 이익을 목표로 지능형·지속적 위협 그룹을 통해 지속적인 행태를 보인다. 또한 ‘파괴적 공격’은 데이터 삭제 등을 통한 운영 방해를 목표로 하며 분쟁을 주도하는 등의 특성을 파악할 수 있다. 이러한 APT 공격은 단순한 호기심 차원에서 개인적인 욕망이 아니라 특정한 목표를 설정하고 공격이 시작된다는 차별점이 있다.
APT 공격의 변화를 살펴보자. 과거에는 코니(Konni)와 플러그X(Plug X) 같은 악성코드 빌더를 사용해 관리자 권한을 탈취하고, 시스템 및 데이터베이스(DB) 권한을 확보하는 것이 주된 목적이었다. 하지만 현재는 모듈화된 공격 구조로 여러 독립된 모듈로 구성돼 각 모듈이 특정 기능을 수행하며 필요에 따라 조합하고, 오픈소스 툴 활동으로 공개된 오픈소스 툴을 활용해 공격을 수행하며 빠르게 변화한다. 또한 브라우저 크리덴셜 유출로 브라우저에 저장된 쿠키와 로그인 자격 증명을 유출해 중요한 계정에 접근하고 추가 공격을 수행하고 있다.
최근 APT 공격은 공격 목적에 맞춰 모듈화하고, 오픈소스를 활용해 빠르게 변화하고 있다. 특히 APT 공격 그룹에서 자체 제작한 악성코드에 오픈소스 공격 툴을 더한 형태로 공격하는 양상을 보인다. XenoRAT는 피해자에게 관심 있는 주제로 위장된 이메일을 통해 실행 파일 또는 *.chm, *.lnk 파일을 첨부해 파일 실행을 유도한다. 이 RAT는 HVNC(Hidden Virtual Network Computing, 실시간 비주얼 네트워크 제어)를 무료로 제공하며, 실시간 오디오 감시와 속스5(Socks5) 역방향 프록시를 이용한 네트워크 통제 우회 기능을 갖고 있는 악성코드다.
인도 공군을 겨냥한 고스틸러(GoStealer) 공격을 살펴보자. 공격자는 깃허브(GitHub)에 공개되어 있는 고스틸러 코드를 기반으로 악성코드를 제작했으며, 악성코드가 수집한 정보를 정상적인 서비스인 Slack API를 이용해 유출했다. 고스틸러는 크롬, 엣지, 파이어폭스, 오페라 등의 브라우저에서 쿠키, 비밀번호, 암호화폐 지갑을 디코딩해 전송하는 악성코드를 말한다.
APT 공격의 예방법은 무엇일까? 이를 크게 개인과 PC, 스마트폰으로 구분해서 알아보도록 하자. 먼저 ‘개인’은 출처가 명확하지 않은 메일을 열람할 때 주의하며, 중요한 데이터는 항상 백업해두고, 주요 개인정보 또는 회사 기밀을 유출하지 않아야 한다.
‘PC’는 윈도 등 운영체제의 업데이트를 최신으로 유지하며, 백신 프로그램은 최신 버전을 유지하고 주기적으로 검사하는 게 중요하다. 특히 보안 업데이트는 철저하게 체크해야 한다.
‘스마트폰’은 보안에 취약한 와이파이(Wi-Fi)에 접속하지 않고, 출처가 불분명한 URL 링크에 연결하지 않으며, 스마트폰에 중요한 개인정보를 저장하지 않는게 안전하다. 이와 함께 보안 애플리케이션을 통해 스팸과 스미싱 수신을 감시하는 것도 잊지 않고 지켜야 한다.
[제작=서울여자대학교 정보보호학과 제21대 학생회 플래그]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>