지난 3·20 사고에서 볼 수 있듯 최근의 사이버 위협은 공격 대상과 규모, 방식에서 과거와 비교할 수 없을 만큼 위협적으로 진화하고 있다. 따라서 전형적인 APT 성격을 보이는 사이버 공격에 있어 시그니처 기반의 백신으로는 근본적인 방어가 불가능, 앞으로 이러한 공격에 발 빠르고 정확하게 탐지할 수 있는 보안 솔루션만이 시장의 요구에 부응하게 될 전망이다.
비시그니처 기반의 악성코드 탐지를 위해서는 샌드박스 기법과 함께 트래픽의 행위를 자동으로 학습하는 기계학습 기법이나 트래픽의 흐름을 분석해 이상행위를 찾아내는 행위기반 분석기법, 기존 소프트웨어 평판을 기준으로 분석하는 평판기반 기법, 트래픽이 갖고 있는 데이터의 콘텐츠를 인지해 정보가 불법적으로 이동하는지 찾아보는 콘텐츠 인지 제어, 트래픽이 일어나는 상황을 종합적으로 분석해 정상행위 중 이상행위일 수 있는 행위를 찾아내는 상황인지 기법 등이 함께 사용된다.
시만텍은 시그니처 방식의 악성코드 탐지기법에 평판기반 기술 ‘인사이트’을 통해 지능화되는 악성코드를 탐지한다. 시만텍은 평판기반 기술을 ‘대중의 지혜’를 빌리는 것이라고 설명한다. 프로그램마다 평판을 모아 전산화해 점수를 매겨서 안정성을 입증받으며, 일정한 평판을 가진 프로그램만을 실행시켜 검증된 안정성을 이용한다. 만일 새롭게 출시된 프로그램으로 사용하는 사람이 없다면 일정한 수 이상 사용자가 모일 때 까지 기다렸다가 프로그램을 실행시키도록 한다. 만일 악성파일이라면 일정 사용자가 모일 때 까지 공격을 할 수 없어 시간이 많이 걸리게돼 악성코드 제작자가 다른 방법을 찾아보게 만들 수 있다.
시만텍은 인사이트에 행위기반 보안위협 탐지기술 소나(SONAR)를 접목해 99%의 멀웨어 위협을 오탐지 없이 차단 또는 무력화하고 빠른 속도로 변종을 만들어내는 제로데이 위협과 웹사이트 방문만으로도 감염되는 각종 악성코드 공격 및 표적 공격을 방어한다.
트렌드마이크로는 프로파일 기법을 사용해 APT를 막는 기술을 소개한다. 프로파일은 초기 IDS/IPS에서 사용하던 방식이지만, 실시간으로 네트워크 트래픽을 분석하고 위험의심요인에 대해 상관관계를 분석해 예측방어 환경을 만드는 방식으로 진화시켜 APT에 대응한다. 트렌드마이크로는 샌드박스 기법과 보안이벤트관리(SIEM)와 연동해 더 완벽한 APT 방어가 이뤄질 수 있도록 한다.
알려지지 않은 악성코드는 샘플이 많을수록 정확도가 높아진다. 따라서 특정 기업, 혹은 국가에서 발생하는 악성코드가 아니라 전 세게에서 발생하는 악성코드 의심파일을 분석하면 오탐을 줄이고 보다 정확한 악성코드 패턴을 알 수 있다. 클라우드 기술을 이용해 악성코드 의심파일을 분석하는 환경은 많은 보안 솔루션 벤더에 구축돼 있다.
블루코트는 ‘웹펄스’, 포티넷 APD와 포티가드랩, 파이어아이 동적위협분석 클라우드 서비스(DTI), 팔로알토 ‘와일드파이어’ 등이 있으며, 시만텍, IBM, HP 등 대부분의 글로벌 보안기업, 국내 대표적인 보안기업들이 이 방식을 사용한다.
주니퍼가 새롭게 선보이는 ‘주노스 스포트라이트 시큐어’는 클라우드 기반으로 해커의 정보를 제공해주는 서비스다. 기기 차원의 개별 공격을 탐지해 글로벌 데이터베이스에서 추적하며, 주니퍼 보안 솔루션에 실시간으로 제공한다. 해커 정보를 명확하게 수집할 수 있으며, 해커에 대한 명확한 정보를 수집할 수 있는 인텔리전스를 기반으로 구축됐다. 해커에 대한 정보를 신속하게 공유될 수 있도록 자동화 돼 있어 많은 수의 네트워크에 걸쳐 보안 위협들, 공격자들, 개별 기기들에 대한 명확한 정보를 빠르게 고객에게 제공할수 있다. 빅데이터와 분석 기술을 더해 신속하게 공격 정보를 파악할 수 있다.
관제·포렌식 기능 접목되며 방어기술 고도화
APT 공격에 사용되는 악성코드는 공통된 특징이 있다. 실행파일이 풀리면 누군가와 통신을 시도한다는 것이다. 공격자의 명령을 받기 위해 악성코드가 실행됐다는 사실을 알리려는 것이다. 샌드박스 기법이 이를 이용한 것으로, 악성코드로 의심되는 파일을 가상머신에서 실행시킨 후 외부와의 통신을 하는지 살펴본다.
최근에 공격자들은 여러 단계에 걸쳐 각각 다른 기능을 하는 악성코드를 흘려보내 사내 시스템에 C&C 서버 역할을 하는 악성코드를 두는 방식을 채택한다. 기존의 방식은 기업 외부의 C&C 서버와 통신했기 때문에 행위기반 분석기술에 탐지되기 쉬웠기 때문이다.
행위기반 분석기술은 네트워크 트래픽의 흐름을 분석해 이상행위 혹은 정상행위지만 이상한 행위로 해석될 수 있는 것을 찾아내며, 트래픽이 포함하고 있는 콘텐츠를 인지하거나, 트래픽이 흘러가는 상황(Context)을 지능적으로 분석해 이상행위로 의심되는 상황을 찾아낸다.
행위기반 분석기술이 고도화되면서 악성코드도 진화해 외부가 아닌 내부와 통신을 하면서 자신의 목적을 숨긴다. 따라서 사람의 트래픽으로 보기 어려울 만큼 사내 특정 시스템과 빠르게 통신을 주고받는다거나 전혀 상관없는 부서 시스템과의 통신이 자주 발생하게 된다면 이상행위로 의심된다는 경고를 받을 수 있다.
안랩은 샌드박스 기반 기술 외에 동적 지능형 콘텐츠 기능을 탑내해 한글파일과 같은 국내 환경에 특화된 제로데이 공격을 방어할 수 있다. 경량 에이전트를 제공해 감염된 컴퓨터에 대한 대응이 가능하다.
행위기반 분석기술은 네트워크 모니터링 기술이 반드시 필요하다. 네트워크 트래픽 행위를 전수조사해야 하며, 정상행위와 이상행위를 판단할 수 있는 DB가 확실하게 마련돼 있어야 한다.
이보다 한단계 더 진화한 것이 네트워크 포렌식이다. 빅데이터 기술을 적용한 네트워크 포렌식은 모든 IT에서 발생하는 정보를 빠르고 정밀하게 분석해 위협정보를 실시간으로 감지한다.
EMC의 ‘RSA 시큐리티 어낼리틱스’가 대표적인 솔루션으로, 네트워크 포렌식 기능을 탑재한 넷위트니스의 아키텍처에 통합로그 관리시스템(SIEM)을 통합하고, 빅데이터 분석 플랫폼을 접목시킨 것이다.
조남용 한국EMC 차장은 “APT 공격 시나리오는 사건마다 다르다. 공격의 패턴을 분석해 미리 예측하고 방어하는 방식으로는 알려지지 않은 새로운 공격을 막을 수 없다”며 “네트워크 포렌식과 빅데이터 분석 기술을 결합함으로써 IT에서 발생하는 모든 정보에 대한 가시성을 확보해 궁극적으로 보안을 강화할 수 있다”고 말했다.
한국EMC는 우리나라에서 대규모 보안사고가 늘어나고 있으며, APT 공격에 대한 새로운 접근법이 필요하다는 것을 인식하는 기업이 많아 시큐리티 어낼리틱스의 성장기회는 충분하다고 분석하고 있다. 특히 정교한 보안을 요구하는 금융권에서 높은 수요가 나타날 것으로 보고 있다.
한편 EMC는 최근 ‘실리시엄(Silicium)’과 ‘실버테일’을 인수하고 이 기술을 보안 제품군에 통합시키고 있다. 실리시엄은 윈도우 실행 영역의 메모리 파일을 검사해 공격의 흔적이 있는지 알아보는 것이고, 실버테일은 피싱·파밍을 막는 솔루션으로, 웹서버 앞에 설치돼 웹 페이지 활동이 정상적이지 않은 사용자를 찾아낸다.
사내·외 철통보안 위해 여러 솔루션 결합
APT 방어에 탁월한 효과를 볼 수 있다고 알려진 기술 중 그 어떤 것도 단독 기술로 APT를 막을 수 없다. 악성코드를 이용해 시스템에 침투하는 형태의 APT 공격 중에서 일부 탁월한 탐지·방어 효과를 볼 수 있는 기술은 있지만, 다른 방식의 APT 공격에는 별 효과가 없을 수도 있다.
네트워크 포렌식 기술이 모든 네트워크의 정보를 정밀 분석해 이상행위를 탐지할 수 있지만, 해당 행위가 실제로 이상행위인지 아닌지, 악성코드를 갖고 있는지 아닌지는 사람이나 전문 솔루션을 이용해야 한다. EMC 솔루션 파트너이며, 차세대방화벽 팔로알토네트웍스의 국내 총판인 유퀘스트는 EMC RSA 제품군과 팔로알토 제품군을 패키지화한 APT 방어 솔루션을 제공한다.
팔로알토는 애플리케이션의 세부 항목까지 세밀하게 통제가 가능하며, HTTPS, SSL 등 암호화된 트래픽도 조사할 수 있어 암호화 트래픽에 숨겨진 악성코드도 탐지할 수 있다. 또한 클라우드 방식의 샌드박스 기술을 이용해 알려지지 않은 악성코드를 찾아낼 수 있다.
사내 네트워크로 유입되는 모든 트래픽을 검사해 악성코드 시그니처에 등록된 것은 즉시 차단하고, 등록되지 않은 것은 샌드박스에서 실행해 이상행위를 하는지 살펴볼 수 있다. 샌드박스는 전 세계 트래픽을 분석하기 때문에 악성코드 정보를 빠르고 정확하게 업데이트 할 수 있다.
이러한 과정을 통과해 사내로 유입된 악성코드는 EMC RSA 넷위트니스의 네트워크 포렌식 기술로 찾아낸다. 비정상적으로 빠른 속도로 특정 내외부 서버와 통신을 시도하거나 이전과 다른 방식으로 시스템과의 통신을 시도한다면 위험한 트래픽일 가능성이 높다는 뜻으로 경고를 줄 수 있다.
강종철 유퀘스트 사장은 “APT는 악성코드를 이용하는 공격이 주를 이루고 있지만, 외부 네트워크를 통해서만 유입되는 것은 아니다. 직원들의 USB나 무선·모바일 취약점을 노려 내부 시스템으로 직접 공격해 올 수 있다”며 “내외부 네트워크를 철저하게 모니터링하고 세밀하게 분석해 공격을 막을 수 있다”고 말했다.
시만텍은 PC 통합보안 솔루션과 웹게이트웨이, 내부정보 유출방지(DLP) 솔루션 등을 함께 사용하면서 APT 공격으로 인한 정보유출을 막을 수 있다고 강조한다. PC를 통한 악성코드 유입은 PC 통합보안 솔루션으로 막고, 웹 취약점을 이용한 악성코드 유입은 웹게이트웨이로 막으며, 중요 정보가 외부로 나가는 것은 DLP로 막을 수 있다는 설명이다.
안랩은 애플리케이션의 알려지지 않은 취약점을 이용하는 악성코드를 탐지하는 ‘동적 지능형 콘텐츠 분석 기술’을 제공하는 ‘트러스와처’와 함께 APT 관제서비스를 제공한다. 안랩의 관제 서비스는 IT 전반의 보안위협을 전문가 수준으로 분석하고 판단할 수 있다.
인포섹도 컨설팅·관제 기술을 기반으로 한 APT 대응 솔루션과 서비스를 소개한다. OTP 기반의 인증 솔루션 ‘어쓰쉴드(Auth-Shield)’와 차세대 방화벽, 포렌식 인텔리전스 솔루션을 결합했으며, 모니터링 하는 체계를 구축하고 있다.
보안위협관리(SRM) 솔루션 ‘스카이박스’를 국내에 공급하는 위노블은 공격이나 이벤트 발생 이전에 공격경로와 취약점을 분석해 위협을 사전에 예방할 수 있다고 강조한다. 이 제품은 실제 네트워크와 동일한 가상 네트워크 환경을 구축해 발생·감지하는 취약점을 가상환경에서 분석해 실제 네트워크에 영향 없이 공격경로를 분석할 수 있다.
포인트 솔루션의 유기적인 결합으로 APT의 특정 구간을 방어하는 방법도 다양하게 소개된다. 파이오링크는 보안스위치 ‘티프론트’와 봇넷 탐지 솔루션 ‘티프론트 안티봇’을 결합해 보다 정확한 APT 탐지·방어가 가능하다. 단말기에 에이전트를 설치하지 않고 네트워크 패킷을 분석해 악성코드를 찾아내며, 악성코드에 감염된 PC를 격리시켜 추가조치를 이룰 수 있도록 한다. 이 제품은 BYOD 환경에서 효과를 발휘할 것으로 기대한다.
“방법 많다는 것은 확실한 해법 없다는 뜻”
APT 방어를 위한 방법은 수도 없이 많이 제안되고 있지만, 방법이 많다는 것은 확실하게 해결할 수 있는 방법이 없다는 뜻으로도 해석될 수 있다. 단 하나의 방법으로 APT를 막을 수 없으며, 특정한 기업이나 기관만이 APT 대상이 되지 않는다는 뜻이다.
조남용 한국EMC 차장은 “전통적인 보안 기술은 어떠한 현상이 나타나면 패턴을 만들고 예상 시나리오를 작성해 비슷한 유형의 공격을 막을 수 있도록 했다. 그러나 고급 해커들은 예전 방식으로 공격하지 않고 언제나 새로운 공격을 찾아낸다”며 “자산의 가치를 해커의 입장에서 판단하고, 이를 보호하기 위한 방법들을 다각도로 모색해야 한다”고 조언했다.
파이어아이 관계자는 “대부분 기업들이 대기업, 정부기관, 국방관련 업체들만 APT 공격의 표적이 된다고 인지하고 있지만, 실제 APT 공격들은 중소규모 사업자 등, 다양한 규모의 기업으로 그 대상을 확대해 나가고 있다”며 모든 기업과 기관이 APT 공격 대상이라는 점을 강조했다.
APT 공격자들은 목표를 향해 단계별로 침투하는데, 최종 목표를 직접 공격하기 어려우면 협력관계에 있는 다른 회사를 공격해가는 방식을 적용한다. 예를 들어 글로벌 제조기업에서 기밀정보를 유출하기 위해 이 기업을 직접 공격할 수도 있지만, 이 기업의 하청업체 혹은 그 아래 하청업체의 제대로 관리되지 않은 PC나 웹서버, 혹은 직원들의 업무습관 중 보안 취약점을 파고든 후 하청업체의 시스템에서 제조기업의 시스템으로 방법을 사용한다는것이다.
이처럼 정교하게 설계된 공격을 막기 위해서는 모든 IT 분야에 심층적인 방어전략을 수립해야 하며, 전통적인 네트워크 보안부터 시작해서 PC단의 바이러스 백신까지 전반적인 보안 환경을 가장 먼저 정비해야 한다.
이에 더해 알려지지 않은 악성코드를 탐지할 수 있는 방법과 알려지지 않은 공격을 탐지할 수 있는 새로운 기술을 적용하고, 임직원의 교육을 통해 사람의 심리를 교묘하게 이용하는 공격에 대비할 수 있도록 한다.
또한 시스템 외부로 중요정보가 유출되지 않도록 정비하며, 직원들의 디지털 기기가 사용자 모르게 시스템에 접속해 의도치 않은 보안홀이 되지 않도록 관리되지 않은 기기의 제어 정책도 마련해야 한다.
시만텍 관계자는 “가장 중요한 것은 사람이다. 직원들이 무심코 열어보는 확인되지 않은 이메일, 습관적으로 방문하는 웹사이트, 메신저를 이용한 파일 전송 등 보안 취약점에 노출될 환경이 너무나 많다”며 “임직원의 변화관리가 무엇보다 먼저 진행돼야 한다”고 강조했다.
