안철수연구소(대표 김홍선, http://www.ahnlab.com)는 8월 18일 세종문화회관 설가온에서 기자간담회를 열고, 최근 가장 위협적인 보안 이슈인 APT(Advanced Persistent Threat / 지능형 타깃 지속 공격)의 현황과 대응 방안을 발표했다.

APT는 다양한 IT 기술과 방식을 이용해 조직적으로 경제적이거나 사회적인 목적을 위해 다양한 보안 위협을 이용해 특정 대상을 겨냥해 지속적으로 공격한다는 것이 특징이다. APT의 주된 타깃은 정부기관과 사회 기간 산업 시설, 정보통신 기업과 제조 기업과 금융기관 등이다.

사회적 목적으로 정부 기관을 공격하는 경우는 기밀 문서를 탈취하거나 정부 정책과 관련된 정보를 확보하기 위해서이다. 또한 발전소 및 댐 등 사회 기간 산업 시설을 겨냥한 경우는 국가 혼란을 야기하려는 일종의 사이버 테러리즘으로 볼 수 있다.

경제적 목적으로 공격하는 경우는 특히 소프트웨어나 통신 장비 등을 생산하는 첨단 IT 기업을 비롯해 자동차, 선박, 가전 분야 제조 기업과 은행, 증권사 등 금융기관이 주된 타깃이다. 경쟁사 내부의 주요 소프트웨어 소스 코드나, 제품의 설계도, 재무 및 투자 계획 문서 등을 탈취해 경쟁사 비즈니스 치명적인 손실을 유발함으로써 반사 이익을 얻으려는 목적이 가장 크다.

▲ 2011년부터 보안분야에서 최대 이슈로 떠오른 것은 바로 'APT'

APT 공격의 대표적 사례로는 스턱스넷(Stuxnet)과 오퍼레이션 오로라(Operation Aurora), 나이트 드래곤(Night Dragon), EMC/RSA 공격이 손꼽힌다. 국내의 경우 올 초 발생한 3.4 디도스 공격 이후 특정 대상을 노리는 공격이 증가하는 추세이다. 한편, 국제적으로 이슈가 되었던 주요 공격에 대한 자세한 내용은 다음과 같다.

스턱스넷(Stuxnet) : 2010년 7월 이란 원자력 발전소 작동을 방해한 악성코드로 SCADA(Supervisory Control And Data Acquisition) 시스템을 임의로 제어하는 데 사용됐다. 이 악성코드를 내부 폐쇄망에서 다른 시스템들로 유포하기 위해 여러 개의 취약점을 사용했다. 원자력 발전소 내부에서 사용하는 독일 지멘스 소프트웨어의 구조를 정확하게 파악하여 관련 파일을 변조했다.

오퍼레이션 오로라(Operation Aurora) : 2011년 1월 구글 본사는 기업 내부에 외부로부터 침해 사고 발생을 공개했다. 이 공격은 구글 외에 어도비, 주니퍼, 야후 등 34개 업체를 공격 대상으로 했다. 공격 목적은 기업 내부 첨단 기술 관련 기밀 데이터의 탈취였다. Internet Explorer의 제로 데이(Zero Day) 취약점이었던 MS10-002(CVE-2010-0249)를 악용했으며, 기업 임직원에게 취약한 웹 페이지의 주소를 전송해 악성코드에 감염되게 했다.

나이트 드래곤(Night Dragon) : 나이트 드래곤 공격은 2009년 11월 무렵부터 최소 1년 이상 카자흐스탄, 그리스, 대만과 미국에 위치한 글로벌 오일, 가스 및 석유 화학 업체를 대상으로 조직적으로 진행된 것으로 알려졌다. 웹 서버 해킹, 악성코드 제작 및 유포, 그리고 다양한 해킹 툴이 사용되었다.

EMC/RSA 공격 : 2011년 3월 EMC/RSA 보안사업본부가 외부의 침입을 당해 인증 관련 정보가 외부로 유출되었다는 사실이 공개되었다. 이 공격은 SNS를 이용해 공격 목표에 대한 정보를 수집하고, 사회 공학 기법을 이용해 공격 목표에 악성코드를 감염시킨 후 범용 소프트웨어의 알려지지 않은 제로데이 취약점 등을 이용해 정보를 유출한 것이다.

▲ 집요한 공격을 통해 목표를 달성한다는 측면에서 심각성이 지대하다.

APT 공격자는 기초 정보 수집, 악성코드 침투, 기밀 정보 유출의 과정을 거친다. 즉, SNS 등 다양한 방법으로 공격 대상 조직에 대한 정보를 수집하고, 해당 조직 임직원에게 악성코드 이메일을 보내는 등 지속적인 타깃 공격을 한다. 이후 공격 목표인 조직 내부에서 사용하는 애플리케이션(응용 소프트웨어)의 취약점을 악용해 정보를 은밀하게 빼낸다. 이 같은 APT 공격에 대응하려면 여러 방면에서 전방위 대응이 필요하다.

기초 정보 수집에 대응하려면 정책적으로 조직 내부 정보나 구성원의 신원 정보를 통제하고, 각종 보안 위협 징후에 대한 내외부 모니터링 및 로그 분석이 지속적으로 이루어져야 한다. 또한 악성코드 침투에 대응하려면 구성원이 P2P, 웹하드, SW 자동 업데이트 사이트 접속 시 악성코드에 감염되지 않도록 주기적으로 보안 교육을 하고 PC(엔드포인트)에 설치된 보안 소프트웨어를 주기적으로 관리 및 감독해야 한다.

기업 내부에서 검토 및 인증한 애플리케이션을 대상으로 화이트리스트(White List)를 작성한다. 이후 화이트리스트 이외 다른 애플리케이션이 설치/실행되지 않도록 차단한다. 또한 확인/인가되지 않은 계정이 중요 시스템에 접근하지 않도록 권한을 최소화/차단한다. 아울러 중요 시스템이 있는 네트워크 대역과 일반 임직원이 사용하는 네트워크 대역을 분리해 접근을 원천 차단한다. 아울러 기밀 정보 유출에 대응하려면, PC에 설치된 운영체제 및 애플리케이션의 취약점 패치 및 관리를 주기적으로 하고, 접근 통제로 정보 유출을 차단하고, 데이터 암호화로 기밀 정보가 유출되어도 악용되지 않게 한다.

이와 함께 재발 방지 차원에서는 어떤 경로로 기업 내부 네트워크로 침입했고 어떤 시스템과 데이터에 접근을 시도했는지 파악하는 것이 필요하다. 최초 네트워크 내부의 비정상 패킷을 검출하고, 비정상 접근이나 데이터 전송이 발생한 시스템을 파악한 후 디지털 포렌식(Digital Forensic) 프로세스에 따라 자세한 분석을 한다.

▲ 안철수연구소는 자사 포트폴리오에 클라우드 컴퓨팅을 접목해 대응역량을 강화하고 있다.

공격을 당하는 기관/기업뿐 아니라 악성코드 유포 경로로 악용되는 SW 업데이트 서버의 보안 관리도 중요하다. SW 제공 업체는 업데이트 서버를 설계 단계부터 보안을 철저히 고려해야 하며, 주기적으로 취약점을 점검하고 24시간 365일 모니터링하는 등 철저히 대비해야 한다.

안철수연구소는 이처럼 고도의 보안 위협 패러다임 변화에 따라 전방위 융합 보안 체계를 구성해 보안을 강화할 필요가 있다고 역설했다. 융합 보안 체계란 외부에서 들어오는 공격과 내부에서 유출되는 것을 동시에 감시 및 대응하는 종합적인 대책을 말한다.

안철수연구소가 제시하는 융합 보안 체계는 2009년부터 준비해온 ‘ACCESS(AhnLab Cloud Computing E-Security Service)’ 전략에서 출발한다. ‘ACCESS’는 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스를 지능형 기술로 받쳐주는 플랫폼이다. 위협의 근원인 악성코드와 해킹 기법을 실시간 수집/탐지/치료함은 물론 악성코드 DB를 생성해 ASEC과 CERT, 제품 및 서비스에 실시간 연계함으로써 신속하고 정확하게 일관된 종합 대응을 할 수 있다.

안철수연구소는 V3(엔드포인트 PC 보안 솔루션)와 트러스가드(네트워크 보안 솔루션)를 비롯해 트러스와처(좀비PC방지 솔루션), 트러스라인(화이트리스트 기반 산업용 시스템 전용 보안 솔루션), 트러스존(망분리 솔루션) 등 다양한 제품의 결합으로 APT 공격에 대응책을 제시한다. 향후에는 악성코드 조기 진단 및 유포지 추적이 가능한 핵심 기술인 ASD(AhnLab Smart Defense)를 보안관제 서비스와 접목한 내부 관제 서비스를 출시할 계획이다.

▲ 김홍선 대표는 안철수연구소가 핵심기술을 바탕으로 최적의 해법을 제시할 것임을 천명했다.