시만텍(http://www.symantec.co.kr)은 9월 20일 서울 웨스틴조선호텔에서 기자간담회를 열고, 최근 보안분야에서의 주된 트렌드에 대해 소개했다. 이 자리에서는 새로운 형태의 치명적인 보안위협이 주된 화제였다.

특정 기업을 겨냥하는 사이버 표적 공격이 갈수록 정교해지고 있는 가운데 공격 대상도 대기업부터 중소기업까지 기업 규모를 가리지 않고 광범위하게 확산되고 있는 추세다. 여기에 금전적인 이득 보다 사회∙정치적 의사를 표출하기 위한 방법으로 사이버 공격을 이용하는 ‘핵티비즘(Hacktivism)’이나 은밀히 장기간 활동하면서 국가간 정보수집 및 기간시설 파괴를 주목적으로 하는 ‘스턱스넷(Stuxnet)’과 같은 보안 위협도 새로운 골칫거리로 떠오르고 있다.

이렇게 특정 기업이나 조직을 노리는 표적 공격은 ‘불특정 다수’가 아닌 ‘특정한 목표’를 겨냥한다는 점에서 기존 해킹과 구별되며, 기업 네트워크에 침투해 오랫동안 잠복하면서 기업의 기밀정보를 빼내도록 설계된다. 기관총을 쏴대는 무차별적 공격이 아니라 치밀한 사전 준비를 거친 스나이퍼형의 지능적∙차별적∙지속적 공격인 셈이다.

최근에는 표적공격에서 한발 더 나아가 특정 기업이나 조직 네트워크에 침투, 활동 거점을 마련한 후 기밀정보를 수집해 지속적으로 빼돌리는 보다 은밀한 형태의 표적 공격인 ‘지능적 지속위협(APT, Advanced Persistent Threat)’이 새로운 보안 위협으로 대두되고 있는 상황이다. 여기에 최근 모바일 기기 사용자 확대, 기업의 클라우드 및 가상화 도입 확산, 디지털 정보 급증 등의 메가 트렌드에 따라 IT 환경이 급변하면서 보안 위협 환경이 더욱 복잡하게 진화함에 따라 효과적인 기업 보안 기술을 적용하기가 점점 더 어려워지고 있다.

▲ 과거와는 다른, 더욱 강력한 보안위협이 전세계적으로 확산되고 있다.

특정 기업이나 조직을 노리는 표적 공격은 ‘드라이브바이다운로드(Drive-by download)’, SQL 인젝션, 악성코드, 스파이웨어, 피싱이나 스팸 등 다양한 공격 기술을 사용한다.

APT 공격도 이 같은 기술들을 사용하지만 공격 성공률을 높이고 첨단 보안 탐지 기법을 회피하기 위해 제로데이 취약점 및 루트킷 기법과 같은 고도의 공격 기술을 복합적으로 이용하기 때문에 지능적이고 위협적이며, 당한 기업들도 보안 사고가 터지기 전까지는 APT 공격에 당했다는 사실 조차 모르는 경우가 대부분이다. 바로 이 APT 공격을 다른 표적 공격과 구분짓는 특징들은 다음과 같다.

1. 지능적(Advanced)

일반적인 공격 방법과 더불어APT는 제로데이 취약점이나 루트킷 기법과 같은 고도의 지능적인 보안 위협을 동시다발적으로 이용해 표적으로 삼은 목표에 침투해 은밀히 정보를 빼돌리는 ‘킬 체인(Kill Chain)’를 생성한다.

제로데이 취약점이란 프로그램에 문제가 알려지고 난 후 보안패치가 나올 때까지의 시간차를 이용해서 공격하는 것으로, 보안 패치가 나오기 전까지는 각종 보안 위협에 무방비로 노출되는 셈이라 특히 위험하다. 또한 루트킷 기법은 컴퓨터 운영체제가 구동되기 전에 윈도우 컴퓨터의 마스터 부트 레코드(MBR)를 변경해 컴퓨터에 대한 통제권을 획득하는 기법으로, 보안 소프트웨어를 통한 탐지를 어렵게 한다.

일례로, 현재까지 알려진 최악의 APT 공격이자 ‘사이버 미사일’로 불리는 스턱스넷의 경우 4개의 제로데이 취약점과 루트킷 기법 등을 종합적으로 이용한 것으로 밝혀졌다.

2. 지속적(Persistent)

APT 공격은 보안탐지를 피하기 위해 은밀히, 천천히 움직여야 하므로 일반적으로 긴 시간 동안 행해진다. 다수의 표적 공격이 순식간에 목표를 공격해 필요한 정보를 탈취해가는 이른바 ‘스매시&그랩(Smash and Grab)’형 공격이라면 APT는 표적으로 삼은 목표 시스템에 활동 거점을 마련한 후 은밀히 활동하면서 새로운 기술과 방식이 적용된 보안 공격들을 지속적으로 가해 정보 유출이나 삭제 또는 시스템에 대한 물리적 피해 등 공격자들이 궁극적으로 원하는 목적을 이루는 것이다.

3. 공격 동기(Motivated)

APT는 주로 국가간 첩보활동이나 기간시설 파괴 등의 특정 목적을 달성하기 위해 행해지며, 대부분 배후에 적성국(敵性國)이 후원하는 첩보조직이나 단체가 연루되어 있다. 이는 APT가 단순히 정보 유출만을 노리는 것이 아니라 공격자가 지속적으로 표적을 원격 조종하여 정보 유출을 포함해 시스템 운영을 방해하거나 물리적인 타격까지 노리고 있다는 것을 시사한다.

4. 공격 목표(Targeted)

지적 재산권이나 가치있는 고객 정보를 가진 거의 모든 조직들이 표적 공격의 대상이라면 APT는 주로 정부 기관이나 기간시설, 방위 산업체, 그리고 전세계적으로 경쟁력 있는 제품, 기술을 보유한 주요 기업들과 이들의 협력업체 및 파트너사들을 노린다.

위와 같은 특징들에 비추어 볼 때, 모든 기업들이 APT의 공격 대상이 아님은 분명하다. 일부 보안 전문가들은 현재 APT 보안 위협이 과대 포장되고 있으며, 사실 대부분의 기업들은 이 공격과 연관이 없다고 이야기 하기도 한다. 다른 한편으로 APT는 장기간에 걸쳐 은밀히 활동하는 목표가 분명한 표적 공격으로 정의되고 있으며, 거의 모든 기업이 표적 공격을 문제 삼고 있는 만큼 다양한 최신 보안 위협에 효과적으로 대응하기 위해서는 APT를 보다 잘 이해할 필요가 있다.

▲ 모바일, 클라우드 등 플랫폼 레벨에서 보안을 재점검할 일들이 수두룩하다.

일반적으로 APT 공격은 침투, 검색, 수집 및 유출의 네 단계로 실행되며, 각 단계별로 다양한 공격 기술을 사용한다. 전체적으로 기존의 표적공격과는 다른, 훨씬 집요하고 사회공학적인 형태를 취하기 때문에 고객대상이 된 기업, 개인에게는 치명적인 피해를 입힌다.

1단계, 침투(Incursion)

일반적으로 표적 공격시 해커들은 훔친 인증정보, SQL 인젝션, 표적 공격용 악성코드 등을 사용하여 목표로 삼은 기업이나 조직의 네트워크에 침투한다. APT도 이러한 공격 방법들을 사용하지만 오랜 시간에 걸쳐 공격 대상 시스템에 활동 거처를 구축하는데 초점을 맞춘다.

관찰(Reconnaissance) : APT 공격자들은 표적으로 삼은 시스템, 프로세스 및 파트너와 협력업체를 포함한 사람들을 파악하기 위해 수개월에 걸쳐 공격 목표를 철저히 연구하고 분석한다. 이란 핵 시설을 공격했던 스턱스넷의 경우, 공격 팀은 목표로 삼은 우라늄 농축시설에 사용되는 PLC(Prorammable Logic  Controllers)에 대한 전문 지식을 보유하고 있었다.

사회 공학(Social engineering) : 목표 시스템으로의 침투를 위해 공격자들은 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열게끔 사회 공학적 기법을 접목하기도 한다. 전형적인 피싱 공격과 달리 이러한 공격은 공격 목표에 대한 철저한 관찰을 통해 진행된다. 가령 공격자가 A라는 기업의 시스템 관리자를 노린다면 공격자는 사전에 이 관리자의 개인 블로그, 트위터, 페이스북 등을 검색해 생년월일, 가족 및 친구관계, 개인 및 회사 이메일 주소, 관심 분야, 진행중인 프로젝트 등의 정보를 수집한 후 이를 이용해 피싱 메일을 보내는 식이다.

제로데이 취약점(Zero-day vulnerabilities) : 제로데이 취약점은 개발자들이 패치 등을 제공하기 전에 소프트웨어 개발자들 모르게 공격자들이 악용할 수 있는 보안상 허점으로 보안 업데이트가 발표되기 전까지는 무방비 상태와 같다. 반대로 제로데이 취약점을 발견 하기 위해서는 상당한 시간과 노력이 걸리는 만큼 가장 정교한 공격 기관만이 이를 활용할 수 있다. APT는 공격 목표에게 접근하기 위해 하나 이상의 제로데이 취약점을 이용한다. 스턱스넷의 경우 동시에 4개의 제로데이 취약점을 이용한 것으로 나타났다.

수동 공격(Manual operations) : 일반적으로 대규모 보안 공격은 효과를 극대화 하기 위해 자동화를 선택한다. 일례로 ‘스프레이&프레이(Spray and pray)’로 불리는 피싱 사기는 자동 스팸 기술을 사용하여 수천 명의 사용자들 중 일정 비율이 링크나 첨부파일을 클릭하도록 한다. 반면, APT는 자동화 대신 각각의 개별 시스템과 사람을 표적으로 삼아 고도의 정교한 공격을 감행한다.

2단계, 검색(Discovery)

한번 시스템의 내부로 침입한 공격자는 기관 시스템에 대한 정보를 수집하고 기밀 데이터를 자동으로 검색한다. 침투로 인해 보호되지 않은 데이터나 네트워크, 소프트웨어나 하드웨어, 또는 노출된 기밀 문서, 추가 리소스 등의 경로가 탐색될 수 있다. 대부분의 표적 공격은 기회를 노려 공격을 하지만, APT 공격은 보다 체계적이고 탐지를 회피하기 위해 엄청난 노력을 기울인다.

다중 벡터(Multiple vectors) : APT 공격시 일단 악성코드가 호스트 시스템에 구축되면 소프트웨어, 하드웨어 및 네트워크의 취약점을 탐색하기 위해 추가적인 공격 툴들이 다운로드 될 수 있다.

은밀한 활동(Run silent, run deep) : APT의 목표는 표적의 내부에 잠복하면서 장시간 정보를 확보 하는 것이므로, 모든 검색 프로세스는 보안탐지를 회피하도록 설계된다.

연구 및 분석(Research and analysis) : 정보 검색은 네트워크 구성, 사용자 아이디 및 비밀번호 등을 포함하여 확보된 시스템과 데이터에 대한 연구 및 분석을 수반한다.

APT 공격을 탐지하면 가장 먼저 해당 공격이 얼마나 지속되었나를 살펴봐야 한다. 전형적인 표적 공격으로 계좌 번호가 유출되었다면 데이터가 유출된 날짜나 피해 정도를 평가하기는 그리 어렵지 않다. 하지만, APT 공격을 당했다면 언제 공격을 받았는지 가늠하기가 거의 불가능하다. 침투 및 검색 활동이 매우 은밀히 진행되기 때문에 피해자는 로그 파일을 점검 하거나 심지어는 관련 시스템을 폐기해야 할 수도 있다.

3단계, 수집(Capture)

수집 단계에서 보호되지 않은 시스템에 저장된 데이터는 즉시 공격자에게 노출된다. 또한, 조직 내의 데이터와 명령어를 수집하기 위해 표적 시스템이나 네트워크 액세스 포인트에 루트킷이 은밀하게 설치될 수 있다.

장시간 활동(Long-term occupancy) : APT는 오랜 기간 지속적으로 정보를 수집하도록 설계되었다. 예를 들어, 2009년 3월 발견된 고스트넷(GhostNet)으로 알려진 대규모 사이버 스파이 사건은 103개 나라의 대사관, 외국 부처 및 기타 정부 기관을 포함해 인도, 런던 그리고 뉴욕의 달라이 라마의 티벳 망명 센터 컴퓨터 시스템에 침투하였다. ‘인포메이션 워페어 모니터(Information Warfare Monitor)’ 보고서에 따르면, 고스트넷은 2007년 5월 22일에 데이터를 수집하기 시작해 2009년 3월 12까지 지속된 것으로 나타났다. 평균적으로 감염된 호스트가 활동한 시간은 145일이었고, 가장 긴 감염 시간은 660일이었다.

4단계, 제어(Control)

APT 공격의 마지막 단계로, 불법 침입자들은 표적 시스템의 제어권을 장악한다. 이 단계를 통해 공격자들은 지적 재산권을 포함해 각종 기밀 데이터를 유출하며, 소프트웨어 및 하드웨어 시스템에 손상을 입힌다.

유출(Exfiltration) : 기밀 데이터가 웹 메일 혹은 암호화된 패킷이나 압축파일 형태로 공격자에게 전송된다.

지속적인 분석(Ongoing analysis) : 도난된 신용카드 번호가 금전적 이득을 위해 재빨리 이용되는 반면, APT 에 의해 수집된 정보는 전략적 기회를 포착하기 위한 연구에 이용되곤 한다. 이러한 데이터는 이 분야의 전문가들에게 하나의 지침서가 되어 영업 비밀을 캐내거나 경쟁사의 행동을 예측하여 대응 방안을 수립하는데 도움이 될 수 있다.

중단(Disruption) : 공격자는 원격 시동이나 소프트웨어 및 하드웨어 시스템의 자동 종료를 야기할 수도 있다. 많은 물리적 장치가 내장형 마이크로 프로세서에 의해 제어되고 있는 만큼 시스템이 교란될 가능성이 커진다. 명령 및 제어 서버는 은밀하게 표적 시스템을 제어하고 심지어 물리적 피해를 야기할 수도 있다.

▲ 새롭게 변화한 만큼, 새로운 위협이 일상이 되었다. 그리고 이에 대한 대비도 새로워야 된다.

APT 공격을 막기 위해서는 기존의 보안 인프라가 갖는 한계를 넘어서 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다.

정보 중심의 보안 전략은 한마디로 보호해야 할 중요 정보가 어디에 저장돼 있고, 누가 접근 가능한지, 어떻게 보호되고 있는지를 파악해 ‘디지털 정보 지도’를 작성하는 것이다. 이를 위해 보호해야 할 정보가 무엇인지 정의(Define)하고, 검색(Discover)하고, 해당 정보의 사용을 통제(Control)하는 정보보호 프로세스를 마련해야 한다.

이와 함께 평판(reputation) 기반 보안 기술, 데이터 유출방지(Data Loss Prevention) 솔루션, 보안 정보 및 이벤트 관리(SIEM), 정보저장소 보안강화, 애플리케이션 계층에서 위험한 파일 형식 차단 등 다각도의 정보보호 체계를 갖춰야 한다.

다양한 악의적 공격과 활동을 효과적으로 차단하기 위해 기업 내부의 사용자가 인터넷을 사용할 때 웹에서 악성코드 검사를 수행하도록 강제하는 ‘사전 방역’과 네트워크 상의 모든 트래픽을 검사해 일반적인 봇트래픽 패턴을 탐지하고 활성 봇넷을 차단하는 한편, 감염된 PC를 즉각 격리하는 ‘사후 차단’의 역할도 중요하다. 이를 통해 각종 사이버 공격의 네트워크 유입을 사전에 차단하고, 만일 유입되더라도 지속적인 탐지 및 모니터링을 통해 악성활동을 차단, 보안 위협을 최소화 할 수 있다.

진화하는 사이버 보안 위협에 대응해 평판 기반과 같은 새로운 보안 신기술 도입도 필수적이다. 공격용 툴킷의 확산과 악성코드 변종의 범람으로 인해 전통적인 시그니처 기반의 보안 솔루션으로는 각종 보안 위협에 대응하기가 점점 더 어려워지고 있기 때문이다.

마치 사용자들의 평판을 기반으로 맛집 순위를 매기듯이 평판 기반의 보안 접근법은 전세계 사용자들의 ‘대중의 지혜’를 모아 프로그램마다 평판을 전산화하며, 극소수의 사람들이 가지고 있는 프로그램을 다운로드하고자 할 경우 이를 제지하고 최상의 선택을 권고한다. 결국 그러한 극소수의 프로그램들은 매우 전문적인 소프트웨어이거나 임의로 생성된 바이러스일 것이기 때문이다.

마지막으로 직원교육을 강화해야 한다. 아무리 좋은 시스템과 보안 솔루션을 구축한다 하더라도 결국 이를 운용하는 것은 사람이고, 확고한 보안 인식이 갖춰지지 않는다면 보안 사고는 언제라도 일어날 수 있다. 불의의 사태에 대비해 민방위 훈련을 하듯, 기업들도 보안 가이드라인을 마련하고 정기적으로 인터넷 안전, 보안 및 최신 위협에 관해 직원교육을 실시하는 한편, 교육을 통해 정기적인 비밀번호 변경 및 모바일 기기 보안의 중요성을 알려야 한다.

▲ APT 공격단계를 단계 별로 파악하고 각각에 대응되는 계획을 세우고 대응해야 된다.