특정 타깃으로 제로데이 취약점, 시스템 파괴, 스피어피싱 공격

[보안뉴스 김경애] 보안위협이 갈수록 고도화·지능화되면서 APT(Advanced Persistent Threat) 공격 역시 두드러지고 있다. APT 공격은 해커가 다양한 보안위협을 악용해 특정 기업이나 조직의 네트워크에 지속적으로 가하는 지능형 지속 공격을 말한다.
 
특정 조직 내부 직원의 PC를 장악한 뒤, 해당 PC를 통해 내부 서버나 데이터베이스에 접근해서 기밀정보 등을 빼내거나 파괴하는 등 개인 PC에서 기업 시스템까지 특정 개인이나 기업을 대상으로 성공할 때까지 끈질기게 공격하는 것이 특징이다. 이에 본지는 ‘한달 앞선 올해 상반기 보안위협 이슈’의 세 번째 키워드인 APT 공격에 대해 소개하고자 한다.

APT, 뚫릴 때까지 끊임없이 공격
APT 공격은 특정 개인이나 기관을 대상으로 뚫릴 때까지 공격하는 것은 물론 공격자의 수준이 높아 공격수법이 지능적이고 위협적이다. 이 때문에 보안전문가들은 입을 모아 APT 공격의 위험성을 지적한다.

이와 관련 경찰청 사이버안전국 이병길 수사관은 “APT 공격은 특정기관 또는 대상을 노리고 성공할 때까지 공격하기 때문에 가장 위협적일 수 있다”고 말했다.

한국정보화진흥원 선원진 책임연구원 역시 외부적으로 APT 공격의 진화가 가장 큰 위협요소라고 우려했다. 이미 유출된 개인정보가 APT 공격에 활용되는 경우 한수원 직원정보 유출사고처럼 국가보안과 직결된 치명적인 사고로 이어질 가능성이 크다는 것. 이는 사회공학적 접근을 시도하는 APT 공격의 특성상 개인정보를 활용해 특정 타깃에 화력을 집중시키기 때문에 성공 가능성이 상대적으로 높을 수밖에 없기 때문이다.

윤재봉 보안컨설턴트도 “지능형 지속 공격은 특정한 집단, 개인 등 명확한 공격 목표를 설정하고, 방어자가 공격 여부를 판단할 수 없을 정도로 장기적으로 신중한 계획에 의해 진행된다”며 “방어자는 공격이 단편적이고 일회성인지, 장기적인 공격의 일환인지를 판단하기가 어렵다. 공격주체는 드러나지 않고 의뢰를 받은 제3자나 단체에 의해 순차적으로 공격이 이루어지는 경우가 많다”고 설명했다.

최근 스마트폰 대중화와 ICT의 융합으로 APT 공격은 더욱 기승을 부리고 있는 추세다. 이와 관련 그레이헤쉬 이승진 대표는 “모바일 보안위협이 갈수록 심각해지고 있다”며 “APT 공격 등 고도화·지능화된 공격을 통해 잠재적인 피해자가 많아질 것으로 예상되는 반면, 기업은 이러한 보안위협에 관심이 아직 부족하다”고 지적했다.

특히, APT 공격를 당한 기업임에도 불구하고 이를 제대로 인지하지 못하고 있는 경우가 많다며 실제로는 공격을 당했지만 탐지가 미흡했거나 혹은 100% 방어했다고 오인하는 사례가 종종 발견된다는 것. 특히, 기업에서 모바일 보안위협에 대해 보다 많은 관심을 기울여야 한다고 강조했다.

제로데이 등 치명적인 수법 이용
특히, APT 공격은 특정 타깃을 대상으로 지능적인 수법으로 공격하는 것이 특징이다. APT 공격방식을 살펴보면 잘 알려지지 않은 취약점이나 제로데이(Zero-Day)  취약점, 시스템 파괴, 사회공학적 수법을 가미한 스피어피싱, 워터링홀 등 대응하기 쉽지 않은 공격수법을 이용한다.

이와 관련 윤재봉 보안컨설턴트는 “지능형 지속 공격은 특정 공격대상에 대해 충분한 정보를 수집하고 이를 바탕으로 워터링홀, 스피어피싱 등 사회공학적 기법을 통해 공격의 성공 확률을 높인다”며 “공격자는 목적이 달성될 때까지 공격을 지속하는 경우가 많다. 따라서 상대적으로 보안수준이 높은 고가치의 표적을 노린다”고 말했다.

또한, APT 공격의 경우 공격자가 최고 수준의 역량을 가지고 있는 경우가 대부분이다. 이로 인해 지능형 지속 공격을 기술적으로 예방하거나 사전에 감지하기가 쉽지 않다. 특히, 주로 취약점을 이용해서 장기간 침투가 이루어진다는 점에서 패턴기반의 정보보호 솔루션만으로 사전에 예방할 수 없는 특징을 가지고 있다. 

이에 대해 노브레이크 박찬주 수석은 APT는 정해진 공격방식이 아니기 때문에 원천 차단이 쉽지 않다고 말했다. 기존의 APT 솔루션들도 이미 업데이트된 패턴이나 행위기반에 인식되는 악성코드들은 탐지할 수 있지만, 처음 나오는 패턴이나 분석엔진에 업데이트가 되지 않은 방식의 악성코드라면 패턴이 나오거나 분석엔진의 업데이트가 되기 전까진 위험에 노출될 수밖에 없다는 것이다.

APT 대응, 넓은 시각으로 바라봐야 
그렇다면 APT 공격에 보다 효과적으로 대응하기 위해서는 어떻게 해야 할까? 정보보안에 대한 관심을 높이고, 위협 대응에 심혈을 기울여야 한다는 게 보안전문가들의 공통된 지적이다.  이와 관련 이승진 대표는 “보안에 대한 지속적인 투자와 함께 취약점 여부를 상시로 점검해야 한다”며 “점검한다고 하더라도 뚫릴 수 있으니까 내부 모니터링을 강화하고, 반복적으로 체크해야 한다”고 강조했다.

이어 이병길 수사관은 “APT 보안위협에 대한 시각을 넓혀야 한다”며 “단순히 웹사이트의 악성코드 유포로만 볼 게 아니라 어떤 목적의 APT 공격인지 등을 파악하는 등 큰 그림을 보고 접근해야 한다”고 강조했다.

한국정보화진흥원 선원진 책임연구원은 “기술 의존적인 보안정책이 오히려 내부 보안위협으로 작용할 수 있다. 기술 의존적인 보안정책과 예산 투자에 비해 내부구성원들의 보안의식 함양과 실천 유도를 위한 노력은 형식적으로 이루어지고 있다”며 이럴 때일수록 APT 공격 예방을 위해 인적보안을 강화해야 한다고 강조했다.


또한, 한국산업기술보호협회 왕재윤 관제운영팀 연구원은 APT 공격 대응을 위해 내부직원이 사용하는 업무망과 외부망(인터넷) 자체를 분리 운영하는 방식인 망분리를 강조했다.

이어 구병춘 보메트릭코리아 부장은 네트워크 보안 솔루션만으로는 불충분하며 데이터 중심의 보안체계로 재편해야 한다고 설명했다. 데이터 중심의 보안은 보호가 필요한 데이터를 어플리케이션과 DBMS에 투명한 암호화를 적용하고 권한이 부여된 계정(privileged user)과 프로세스(어플리케이션)에 대한 접근통제를 적용하는 것이다.

또한, 로그 관리 측면에서도 보안 인텔리전스를 적용해 이상징후가 나타나는 즉시 이메일 등을 통한 알림을 받을 수 있도록 시스템을 구축해야 한다며 데이터 중심의 보안체계를 통해 네트워크 보안의 한계를 극복할 수 있고 APT 공격도 효과적으로 대응할 수 있다고 덧붙였다.

한국인터넷진흥원 취약점분석팀 김민수 주임연구원은 “출처가 명확하지 않은 메일은 열람하지 않아야 하고, 모르는 사람으로부터 오는 메일은 무조건 의심해야 한다”며 “지인이 보낸 메일이라고 할지라도 제목과 내용을 살펴볼 것”을 당부했다. 또한, 사용자는 PC내 한글, MS 오피스와 같은 응용 프로그램과 바이러스 백신을 항상 최신 버전으로 업데이트해야 한다고 설명했다. [김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>