최근 APT 공격 유형의 상당부분을 차지하는 것이 이메일을 이용한 공격이다. 특히 이메일은 사회공학적 기법을 적용해 사람의 심리를 교묘하게 이용하기 때문에 방어가 더 어렵다.
이메일 공격은 몇 단계에 걸쳐 이뤄지는데, 첫번째 단계는 첫번째 공격 관문을 뚫을 사람을 선택하는 것이다. A 금융기관의 고객정보를 탈취하려는 공격자라면, A 기관 직원들의 신상정보를 찾기 시작한다. 구글링이나 SNS를 통해 이름과 이메일 정보, 대상의 취미 혹은 취향, 가족관계 등을 알아낸 후 공격대상에게 맞춤형 정보를 담은 이메일을 보낸다.
이메일을 받은 사람이 메일을 열어 첨부파일을 다운로드 받거나 URL을 클릭하면 악성코드가 그 사람의 단말기에 숨어들어가 백도어를 만든다. 그리고 적당한 시기가 되면 네트워크로 침투해 목표로 삼은 고객정보 DB에 접근할 수 있는 방법을 찾는다. 이렇게 숨어들어간 악성코드는 조용히, 은밀하게 활동하기 때문에 악성코드 탐지 솔루션으로 막기 어렵다. 특정 목적을 갖고 설계된 것이기 때문에 패턴분석이 안되고, 외부 C&C 서버와 자주 통신을 하는 것이 아니기 때문에 행위기반 분석으로도 탐지가 안될 수 있다.
이메일을 이용한 공격은 2012년 상반기부터 빠르게 증가했다. 파이어아이의 ‘2012년 상반기 지능형 위협보고서’에 따르면 이메일을 통한 악성코드 감염 수는 2011년 하반기보다 225% 증가했고, 2011년 상반기와 비교하면 392% 높아졌다. 이같은 결과는 방화벽, IPS 등 네트워크 보안 솔루션을 우회해 침투한 것으로 더욱 위험하다.
이 보고서에 따르면 가입승인 URL 등 일회성 URL, 자주 사용하지 않는 도메인 등을 이용해 공격하는 사례가 크게 늘었으며, 공격에 가담한 적이 없는 URL은 기존의 URL 필터링에 걸러지지 않는다는 점을 노린 것이다.
모바일 악성코드도 매우 취약한 보안위협이다. 모바일 업무가 증가하면서 다양한 모바일 디바이스가 기업 시스템에 접속하는데, 개인이 소유한 단말기는 보안정책을 강력하게 적용할 수 없기 때문에 각종 악성코드에 감염된 단말기가 시스템에 접속했을 때 제어할 수 있는 방법이 요구된다. 그러나 모바일 악성코드 역시 최근 생긴 것이기 때문에 패턴 분석이 어렵고 평판정보가 없어 악성코드인지 아닌지 판단하기 어렵다.
USB 등 이동식 저장장치에 악성코드를 심어 1차 목표로 삼은 사람이 USB를 사용하게 하거나, 각종 패치 업데이트 프로그램에 몰래 심어 실행되도록 하는 경우, P2P 사이트의 동영상 파일에 악성코드를 숨기는 경우, 보안이 취약한 웹사이트에 악성코드를 숨겨 방문자 PC를 감염시키거나 웹서버가 악성코드를 직접 배포하는 경우 등 다양한 APT 공격이 나타나고 있다.
악성코드를 이용한 APT는 알려지지 않은 악성코드를 이용하며, 공격이 시작되고 패치가 나와 공격을 중단해야 하는 시점까지 공격을 단행하는 ‘제로데이 공격’을 이용하기 때문에 악성코드에 정보가 폭넓게 공유돼야 한다.
빛스캔은 국내 악성코드 정보를 공유하고 협력하는 방법을 적극적으로 제안하고 있다. 한글과컴퓨터의 업데이트 서버를 공격하거나 한글 오피스로 편집된 문서에 악성코드를 추가하는 등 우리나라 환경에 맞는 타깃 공격이 성행하고 있어 국내에서 발생하는 악성코드에 대한 정보를 실시간으로 업데이트하고 공유하는 것이 필요하다는 것이다.
문일준 빛스캔 대표는 “KISA, 사이버사령부, 증권업계 등에 악성코드 관련 정보를 공유하고 있다. 국내외 180여만개 웹사이트에서 발견되는 악성코드 유포 및 경유사례를 실시간으로 분석하고 있으므로 다른 기관·벤더와 협력해 악성코드 정보를 공유하고자 한다”고 말했다.
샌드박스로 알려지지 않은 악성코드 탐지
악성코드를 탐지하는 전통적인 방법은 기존에 정리된 시그니처와 비교해보는 것이다. 안티바이러스 솔루션 업체들은 지금까지 발견된 악성코드 샘플을 갖고 있어 이 샘플 혹은 변종 악성코드에 대한 패턴과 새로운 악성코드 패턴을 비교한다. 시그니처 방식은 이전에 공격과 피해가 발생한 적이 있어야 하기 때문에 최초로 시행되는 악성코드는 탐지할 수 없다. 그래서 비시그니처 방식의 악성코드 탐지기법이 다양하게 제안된다.
비시그니처 방법의 대표적인 기술로 샌드박스를 들 수 있다. 샌드박스 기법은 새로운 악성코드를 찾아내는 중요한 기술이다. 악성코드로 의심되는 파일을 격리된 가상화 영역에서 실험해 본 후 어떠한 공격이 일어나는지 확인하고, 공격이 일어나면 상세분석을 시작하고, 공격이 일어나지 않으면 허용하는 방식이다.
이 방법에는 허점이 있는데, APT 공격에 이용되는 악성코드는 실행 즉시 행동을 시작하는 것이 아니기 때문에 악성코드가 아니라고 분류될 가능성이 있다. 샌드박스로 가지 않도록 작게 설계돼 조용히 지나가거나 실행된 후 아무 일도 하지 않도록 설계돼 샌드박스에 머무는 기간 동안 악성코드로 판명받지 않도록 하는 방법도 있어 샌드박스 방식이 완벽한 것은 아니다.
파이어아이는 샌드박스 기술을 진일보시킨 가상실행엔진(VXE)을 통해 알려지지 않은 공격을 방어한다. VXE는 악성코드 탐지를 위해 개발돼 VXE를 우회하거나 무력화 할 수 있는 공격은 아직까지는 없다. 시그니처 기반 분석을 사용하지 않아 오탐을 낮췄으며, 여러 단계에 걸쳐 진행되는 혼합공격 방어가 가능하다. 클라우드 기반 멀웨어 탐지 인프라를 이용해 전세계 멀웨어와 악성코드 정보를 수집·분석해 새로운 위협을 빠르게 차단한다.
전수홍 파이어아이코리아 지사장은 “3·20 사고에서 볼 수 있듯, 오늘날 사이버 위협은 공격의 대상과 규모, 방식에서 과거와 비교할 수 없을 만큼 위협적으로 진화하고 있다”며 “전형적인 APT 성격을 보이는 이 같은 사이버 공격에 있어 시그니처 기반의 백신으로는 근본적인 방어가 불가하다. 향후 이러한 공격에 발 빠르고 정확하게 탐지할 수 있는 보안 솔루션만이 시장의 요구에 부응하게 될 것”이라고 밝혔다.
