표적형 이메일 공격, 주요 공격 수단... 2007년 미 공군 대령이 처음 언급
다양한 공격법 활용해 개념 갈팡질팡하기도... 종합적 방어 필요
[보안뉴스 양원모 기자] ‘APT’하면 일반인은 아파트부터 떠올릴 것이다. 보안업계 관계자라면 탄식부터 나올 것이다. “아, 그놈의...” 말은 한 다리만 건너도 전혀 다른 뜻으로 해석된다. 브라질에서 우리나라 전통음식 떡만둣국을 입에 올렸다간 몰매 맞을 수 있다. 브라질에 비슷한 발음의 욕(‘또마노꾸’)이 있어서다. 지능형 지속공격(APT)은 보안업계의 ‘또마노꾸’다. 최근 몇 년간 기업과 보안 관계자들을 끈질기게 괴롭혀왔다. 악당이 집요한 데다 성실하면 어떤 결과가 초래되는지 제대로 보여줬다.
[이미지=iclickart]
APT는 문자 그대로 ‘하나의 분야나 대상을 정해 꾸준히 공격하는 행위’다. ‘지능형’이란 표현이 말해주듯 최신 공격기법을 동원한다. 전 세계 APT그룹 정보를 수집하는 보안업체 파이어아이는 APT를 “몇 달 또는 몇 년의 오랜 기간에 걸쳐 자신의 목표를 추구하며 공격 경로나, 악성코드 페이로드를 변경해 공격 방식을 조정하는 것”으로 정의하고 있다. APT는 얼마나 사이버 세상을 망쳤고, 어떤 사악한 미래를 그리고 있을까.
꾸준히, 은밀히, 다양하게
APT의 주요 공격 수단인 표적형 이메일 공격은 1990년대부터 보고됐다. 2005년 영국과 미국 CERT는 표적형 이메일 공격을 ‘떠오르는 사이버 공격 트렌드’로 선정했다. 2007년 4월, 그렉 래트레이 미 공군 대령은 방산업체 임원들과의 브리핑 자리에서 표적형 이메일 공격을 활용한 새로운 사이버 위협을 소개했다. 길게는 몇 달간 시스템에 잠복하며 표적의 취약점을 노리는 이 공격법에 그는 ‘지능형 지속공격(APT)’이란 이름을 붙였다.
2007년이 APT가 이름을 얻고, 존재가 정의된 해라면, 2010년은 대중에게 그 위험성을 각인시킨 해다. 구글 등 IT 기업 34곳의 기밀 정보 탈취를 시도한 ‘오퍼레이션 오로라(1월)’, 이란 원자력 발전소 시스템의 무력화를 시도한 ‘스턱스넷(6월)’ 등 APT 관련 사건·사고가 잇따르며 전 세계에 APT 주의보가 발령됐다. 2011년엔 국내에도 마수가 뻗쳤다. 농협 전산망 해킹 사건, SK커뮤니케이션즈·넥슨 개인정보 유출 등 피해사례가 속속 등장하며 한국도 APT 안전지대가 아님이 증명됐다.
APT의 개념은 오랫동안 갈팡질팡했다. 여러 공격법을 활용하기 때문이다. 최근에는 ‘하나의 타깃을 정하고, 사회공학적 기법을 활용한 이메일로 타깃의 PC에 악성코드를 설치해 시스템을 공격하는 것’ 정도로 정리되는 추세다. 핵심은 ‘지속성’과 ‘지능성’이다. 꾸준히, 은밀히 공격(지속성)이 이뤄졌고, 그 과정에서 제로데이·악성코드·랜섬웨어·피싱 등 다양한 공격법이 동원됐다(지능성)면 APT로 볼 수 있다는 게 전문가들의 공통된 의견이다. 배후에 특정 국가가 의심되는 것도 특징이다. 2015년 베트남 TP은행 해킹, 2016년 방글라데시 중앙은행 해킹의 주범으로 지목된 해커조직 APT38은 북한 정권의 지원이 유력시 된다.
APT에 농락 당한 대한민국
APT는 국내 기업과 기관을 농락했다. 안랩에 따르면, 우리나라에서 발생한 첫 APT는 2004년 6월 정부와 기업을 대상으로 배포된 트로이목마 ‘핍뷰어(PeepViewer)’다. 대만에서 제작된 것으로 알려진 이 트로이목마는 세미나 안내, 설문조사를 위장한 이메일로 ‘워크숍 내용과 일정.MDB’라는 첨부 파일을 전송해 악성코드 감염을 시도했다. 국가정보원은 당시 공격으로 공공기관 6곳 PC 64대와 민간 기업 PC 52대가 핍뷰어에 감염됐다고 밝혔다.
[이미지=iclickart]
2011년에는 “APT가 창궐했다”는 수식을 붙여도 좋을 정도로 많은 사건·사고가 터졌다. 그 해 4월, 농협 전산망 내부 자료가 대규모 손상돼 최대 18일간 서비스가 중단되는 사고가 발생했다. 농협 서버의 유지보수업체 직원이 서버 관리용 노트북에 영화를 불법 다운로드한 게 화근이었다. 해커들은 노트북에 악성코드를 심고 7개월간 서버를 제집처럼 지나들며 각종 정보를 탈취했다. 여기서 끝이 아니었다. 서버에 공격 프로그램을 심어 다른 서버에 공격 명령을 내리기까지 했다. 해커가 서버 운영 시스템 절반을 파괴하는 데 걸린 시간은 고작 30분이었다.
같은 해 같은 달, 금융업체 현대캐피탈에서는 개인정보 유출사고가 일어났다. 현대캐피탈 전 직원의 아이디와 비밀번호를 입수한 해커 그룹은 광고메일 발송 서버와 차량 정비내역 조회 서버에 침입해 화면을 복사하거나 해킹 프로그램을 통해 데이터베이스(DB)를 다운로드하는 식으로 총 175만 명의 개인정보를 탈취했다. 당시 현대캐피탈 고객은 180만 명 정도였다. 전체 회원의 97%가 개인유출 피해를 본 것이다. 이외에도 SK커뮤니케이션즈(3,500만), 넥슨(1,300만)에서 APT로 추정되는 개인정보 유출사고가 발생해 정보 유출에 대한 국민적 불안감을 증폭시켰다.
APT는 시간이 흘러도 여전히 보안업계의 촉각을 곤두세우게 하는 존재다. 한국인터넷진흥원(KISA)은 지난해 국내 주요 보안업체 6곳과 선정한 ‘2019년도 7대 사이버 공격 전망’에서 지능화한 스피어피싱과 APT 공격을 올해 주목해야 할 사이버 위협으로 꼽았다. 카스퍼스키랩은 ‘2019년 위협 예측’ 보고서에서 새로운 APT그룹의 부상을 경고했다. 사이버 암시장에서 판매 중인 수백 가지 공격 도구와 재설계된 익스플로잇 등이 APT의 진화를 끌어내, 전에 없던 유형의 APT그룹이 등장할 가능성이 높다는 것이다.
APT는 전면전... 종합적 방어 필요
전쟁으로 따지면, APT는 전면전이다. 가능한 모든 수단을 동원해 표적의 허점을 파고들고, 다양한 공격을 수행한다. 육해공을 넘나드는 적의 침략에 맞서려면 종합적 방어체계를 구축해야 한다. 강화된 보안의식으로 공격 빌미를 주지 않는 것도 중요하다.
공격 교두보가 될 수 있는 △엔드포인트 △네트워크 △서버에 대한 통합 보안은 APT 방어의 기본이다. 이글루시큐리티는 공식 홈페이지의 ‘APT 공격과 대응방안’에서 “엔드포인트는 내부망 침투를 위한 필수 요소”라며 “(APT는) 엔드포인트에서 악성코드를 감염시키는 작업에서 시작되므로 외부 인터페이스 통제, 백신, 방화벽, 악성코드 방어 솔루션 등을 통해 APT 발생 가능성을 최소화해야 한다”고 조언한다. 네트워크단에서 악성코드를 분석하거나, 빅데이터 기반 보안관제 시스템(SIEM) 등을 통해 정보 시스템의 이벤트, 로그, 감사 정보를 장시간 심층 분석하는 것도 필요하다고 업체는 강조한다.
무엇보다 중요한 건 사람이다. 공격도, 방어도, 피해도 모두 사람 손 끝에서 시작되기 때문이다. 이글루시큐리티는 “모든 공격의 시작은 사용자의 부주의한 행동에서부터 시작되는 만큼, 주기적인 보안교육 및 모의훈련까지 한다면 (APT 방어에) 굉장히 좋은 효과가 있을 것”이라고 전했다.
[양원모 기자(boan@boannews.com)]
다양한 공격법 활용해 개념 갈팡질팡하기도... 종합적 방어 필요
[보안뉴스 양원모 기자] ‘APT’하면 일반인은 아파트부터 떠올릴 것이다. 보안업계 관계자라면 탄식부터 나올 것이다. “아, 그놈의...” 말은 한 다리만 건너도 전혀 다른 뜻으로 해석된다. 브라질에서 우리나라 전통음식 떡만둣국을 입에 올렸다간 몰매 맞을 수 있다. 브라질에 비슷한 발음의 욕(‘또마노꾸’)이 있어서다. 지능형 지속공격(APT)은 보안업계의 ‘또마노꾸’다. 최근 몇 년간 기업과 보안 관계자들을 끈질기게 괴롭혀왔다. 악당이 집요한 데다 성실하면 어떤 결과가 초래되는지 제대로 보여줬다.
[이미지=iclickart]
APT는 문자 그대로 ‘하나의 분야나 대상을 정해 꾸준히 공격하는 행위’다. ‘지능형’이란 표현이 말해주듯 최신 공격기법을 동원한다. 전 세계 APT그룹 정보를 수집하는 보안업체 파이어아이는 APT를 “몇 달 또는 몇 년의 오랜 기간에 걸쳐 자신의 목표를 추구하며 공격 경로나, 악성코드 페이로드를 변경해 공격 방식을 조정하는 것”으로 정의하고 있다. APT는 얼마나 사이버 세상을 망쳤고, 어떤 사악한 미래를 그리고 있을까.
꾸준히, 은밀히, 다양하게
APT의 주요 공격 수단인 표적형 이메일 공격은 1990년대부터 보고됐다. 2005년 영국과 미국 CERT는 표적형 이메일 공격을 ‘떠오르는 사이버 공격 트렌드’로 선정했다. 2007년 4월, 그렉 래트레이 미 공군 대령은 방산업체 임원들과의 브리핑 자리에서 표적형 이메일 공격을 활용한 새로운 사이버 위협을 소개했다. 길게는 몇 달간 시스템에 잠복하며 표적의 취약점을 노리는 이 공격법에 그는 ‘지능형 지속공격(APT)’이란 이름을 붙였다.
2007년이 APT가 이름을 얻고, 존재가 정의된 해라면, 2010년은 대중에게 그 위험성을 각인시킨 해다. 구글 등 IT 기업 34곳의 기밀 정보 탈취를 시도한 ‘오퍼레이션 오로라(1월)’, 이란 원자력 발전소 시스템의 무력화를 시도한 ‘스턱스넷(6월)’ 등 APT 관련 사건·사고가 잇따르며 전 세계에 APT 주의보가 발령됐다. 2011년엔 국내에도 마수가 뻗쳤다. 농협 전산망 해킹 사건, SK커뮤니케이션즈·넥슨 개인정보 유출 등 피해사례가 속속 등장하며 한국도 APT 안전지대가 아님이 증명됐다.
APT의 개념은 오랫동안 갈팡질팡했다. 여러 공격법을 활용하기 때문이다. 최근에는 ‘하나의 타깃을 정하고, 사회공학적 기법을 활용한 이메일로 타깃의 PC에 악성코드를 설치해 시스템을 공격하는 것’ 정도로 정리되는 추세다. 핵심은 ‘지속성’과 ‘지능성’이다. 꾸준히, 은밀히 공격(지속성)이 이뤄졌고, 그 과정에서 제로데이·악성코드·랜섬웨어·피싱 등 다양한 공격법이 동원됐다(지능성)면 APT로 볼 수 있다는 게 전문가들의 공통된 의견이다. 배후에 특정 국가가 의심되는 것도 특징이다. 2015년 베트남 TP은행 해킹, 2016년 방글라데시 중앙은행 해킹의 주범으로 지목된 해커조직 APT38은 북한 정권의 지원이 유력시 된다.
APT에 농락 당한 대한민국
APT는 국내 기업과 기관을 농락했다. 안랩에 따르면, 우리나라에서 발생한 첫 APT는 2004년 6월 정부와 기업을 대상으로 배포된 트로이목마 ‘핍뷰어(PeepViewer)’다. 대만에서 제작된 것으로 알려진 이 트로이목마는 세미나 안내, 설문조사를 위장한 이메일로 ‘워크숍 내용과 일정.MDB’라는 첨부 파일을 전송해 악성코드 감염을 시도했다. 국가정보원은 당시 공격으로 공공기관 6곳 PC 64대와 민간 기업 PC 52대가 핍뷰어에 감염됐다고 밝혔다.
[이미지=iclickart]
2011년에는 “APT가 창궐했다”는 수식을 붙여도 좋을 정도로 많은 사건·사고가 터졌다. 그 해 4월, 농협 전산망 내부 자료가 대규모 손상돼 최대 18일간 서비스가 중단되는 사고가 발생했다. 농협 서버의 유지보수업체 직원이 서버 관리용 노트북에 영화를 불법 다운로드한 게 화근이었다. 해커들은 노트북에 악성코드를 심고 7개월간 서버를 제집처럼 지나들며 각종 정보를 탈취했다. 여기서 끝이 아니었다. 서버에 공격 프로그램을 심어 다른 서버에 공격 명령을 내리기까지 했다. 해커가 서버 운영 시스템 절반을 파괴하는 데 걸린 시간은 고작 30분이었다.
같은 해 같은 달, 금융업체 현대캐피탈에서는 개인정보 유출사고가 일어났다. 현대캐피탈 전 직원의 아이디와 비밀번호를 입수한 해커 그룹은 광고메일 발송 서버와 차량 정비내역 조회 서버에 침입해 화면을 복사하거나 해킹 프로그램을 통해 데이터베이스(DB)를 다운로드하는 식으로 총 175만 명의 개인정보를 탈취했다. 당시 현대캐피탈 고객은 180만 명 정도였다. 전체 회원의 97%가 개인유출 피해를 본 것이다. 이외에도 SK커뮤니케이션즈(3,500만), 넥슨(1,300만)에서 APT로 추정되는 개인정보 유출사고가 발생해 정보 유출에 대한 국민적 불안감을 증폭시켰다.
APT는 시간이 흘러도 여전히 보안업계의 촉각을 곤두세우게 하는 존재다. 한국인터넷진흥원(KISA)은 지난해 국내 주요 보안업체 6곳과 선정한 ‘2019년도 7대 사이버 공격 전망’에서 지능화한 스피어피싱과 APT 공격을 올해 주목해야 할 사이버 위협으로 꼽았다. 카스퍼스키랩은 ‘2019년 위협 예측’ 보고서에서 새로운 APT그룹의 부상을 경고했다. 사이버 암시장에서 판매 중인 수백 가지 공격 도구와 재설계된 익스플로잇 등이 APT의 진화를 끌어내, 전에 없던 유형의 APT그룹이 등장할 가능성이 높다는 것이다.
APT는 전면전... 종합적 방어 필요
전쟁으로 따지면, APT는 전면전이다. 가능한 모든 수단을 동원해 표적의 허점을 파고들고, 다양한 공격을 수행한다. 육해공을 넘나드는 적의 침략에 맞서려면 종합적 방어체계를 구축해야 한다. 강화된 보안의식으로 공격 빌미를 주지 않는 것도 중요하다.
공격 교두보가 될 수 있는 △엔드포인트 △네트워크 △서버에 대한 통합 보안은 APT 방어의 기본이다. 이글루시큐리티는 공식 홈페이지의 ‘APT 공격과 대응방안’에서 “엔드포인트는 내부망 침투를 위한 필수 요소”라며 “(APT는) 엔드포인트에서 악성코드를 감염시키는 작업에서 시작되므로 외부 인터페이스 통제, 백신, 방화벽, 악성코드 방어 솔루션 등을 통해 APT 발생 가능성을 최소화해야 한다”고 조언한다. 네트워크단에서 악성코드를 분석하거나, 빅데이터 기반 보안관제 시스템(SIEM) 등을 통해 정보 시스템의 이벤트, 로그, 감사 정보를 장시간 심층 분석하는 것도 필요하다고 업체는 강조한다.
무엇보다 중요한 건 사람이다. 공격도, 방어도, 피해도 모두 사람 손 끝에서 시작되기 때문이다. 이글루시큐리티는 “모든 공격의 시작은 사용자의 부주의한 행동에서부터 시작되는 만큼, 주기적인 보안교육 및 모의훈련까지 한다면 (APT 방어에) 굉장히 좋은 효과가 있을 것”이라고 전했다.
[양원모 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
