3·20 전산망 마비사고로 APT의 위험성이 실제로 증명되면서 보안업계는 높은 성장 가능성이 보이고 있다. 그러나 이와 동시에 APT에 대한 왜곡된 메시지가 횡행하고 있는데 대한 경계의 목소리도 나오고 있다.
APT는 특정한 목표를 가지고 지속적으로 공격을 단행하는 공격으로, 장기간에 걸쳐 정교하게 진행되기 때문에 한 가지 방법으로 막을 수 없다. 그러나 APT 방어 솔루션을 공급하는 일부 보안 벤더들이 3·20 사고 이후 자사 고객의 시스템을 분석한 결과 자사 제품이 3·20 공격에 이용된 악성코드를 성공적으로 차단했다는 점을 강조하면서 APT 전용 솔루션의 성능을 입증했다고 주장하고 있다.
이는 자칫 잘못하면 단일 솔루션으로 APT를 막을 수 있다고 오해할 수 있는 주장으로, APT에 대한 잘못된 인식을 갖게 할 수도 있다는 지적이 나온다.
익명을 요구한 국내 보안 솔루션 기업의 대표이사는 “솔직히 말해 피해를 입은 기업이나 공격에 악용당한 보안 솔루션은 운이 없어서 당한 것 아닌가? 역으로 용케 피해를 벗어난 기업들은 운이 좋았다고 할 수 있다”며 “APT 방어를 위해 보안 장비 몇 대 더 도입하는 것에 그쳐서는 절대 안된다”고 경고했다.
“기업/기관 이해관계 떠나 폭넓은 정보 공유 이뤄져야”
스티브 창 트렌드마이크로 회장은 “APT 방어를 위해서는 여러 벤더와 기술이 협력해야 하며, 보안에 대한 개념을 리부팅 해야 하고, 공격이 발생했을 때는 관련된 모든 기업/기관이 이해관계를 떠나 관련 정보를 공유하면서 공격방법을 분석하고 방어법을 마련하는데 힘을 모아야 한다”고 강조한 바 있다.
그러나 3·20 공격 이후 진행된 조사에서는 공격과 관련된 정보가 충분히 공유됐다고 평가하기 어려운 점이 있다. 이번 사고는 보안에 극히 민감한 금융권과 방송사가 공격을 당했으며, 북한의 사이버테러 가능성을 염두에 두고 조사가 진행됐기 때문에 관련 정보가 완벽하게 공유될 수 없다는 점에는 일정부분 동의하는 분위기가 있다.
그러나 사고에 이용된 악성코드 정보나 악성코드가 어떻게 시스템 내부로 침투할 수 있었는지, 시스템의 취약점은 어떻게 파악됐는지, 정확한 피해상황은 무엇인지 설득력있는 결과가 나오지 않아 의혹이 더욱 증폭되고 있다.
“북한IP는 위조할 수 없을까”
지난 10일 우리나라 정부가 중간조사 발표를 통해 이번 사고는 북한의 사이버테러라고 규정하자 북한은 조선인민군신문과 조선중앙TV를 통해 “천안함 침몰사건의 재판으로 미국의 핵전쟁 소동에 편승해 조선반도의 정세를 극한 계선으로 몰아가려는 고의적인 도발”이라고 반박하는가 하면 “현 집권자는 그 무슨 3.20 해킹 공격사건을 북소행으로 날조하는 것으로 가뜩이나 전쟁국면에 처한 이 땅에서 기어이 불질을 터뜨려 보려고 악을 쓰고 있는 것”이라고 강력 비난했다.
또한 공격의 발원지가 북한의 IP 주소였다는 사실에 대해 “IP도용은 해커들이 쓰는 일반수법”이라며 박근혜 대통령이 신설된 미래창조과학부를 동원해 음모를 꾸민 것이라고 반박했다.
이에 대해 정부는 북한이 천안함 등 어떠한 도발에 대해서도 자신의 소행이라고 인정한 적이 없다고 주장하면서 대응할 가치조차 없다는 입장을 내놓았다.
보안업계 일각에서도 정부의 발표가 미심쩍은 부분이 있다는 의견을 조심스럽게 내놓기도 한다. 일부 전문가는 북한은 폐쇄된 사회이기 때문에 다른 나라의 해커들이 북한IP를 경유해 공격을 단행할 수 없으며, 북한IP가 발견됐다는 것은 북한에서 직접 공격이 이뤄졌다는 것을 의미한다고 주장하지만, 다른 쪽에서는 IP를 위조할 수 없다는 것은 어불성설이라고 반박한다.
익명을 요구한 보안업계 관계자는 “북한이 폐쇄적인 사회라고 해서 다른 지역에서 IP 경유가 어렵다는 것은 논리적으로 설득력이 떨어진다. 북한이 고도의 사이버 테러 조직을 운영하고 있다면, 자신의 행위가 드러날 수 있도록 IP를 노출시키지 않았을 것이다”며 “실제로 최근 몇 달간 북한발 공격이 증가한 것은 사실이지만, 3·20 사고가 북한으로부터 시작된 것인지 정확하게 알기는 어렵다”고 말했다.
APT 트렌드 보여줘…근본적인 대응책 시급
한편 3·20 사고가 진행된 경위가 밝혀지면서 APT의 전형적인 공격이 어떻게 진행되고, 어떠한 피해를 입히게 될지 상세한 분석이 나오고 있어 APT 방어를 위한 대응책도 시급히 요구된다.
사고의 일부는 이메일 첨부파일을 통해 직원 PC에 악성코드를 심어 백도어를 만들고, 사내 시스템으로 침입한 후 시스템 취약성을 찾아 공격을 단행한 것으로 보인다.
특히 해커가 오랜 기간 동안 시스템 취약성을 찾았다는 점 때문에 지능형 타깃 공격의 진행경위를 알 수 있는 중요한 사례가 되기도 한다. 안티바이러스 솔루션의 업데이트 서버를 통해 시스템 내부에서 악성코드 확산 속도를 높여 피해규모를 크게하고, 사회적으로 큰 이슈를 만들었다는 점 역시 진화하는 APT 트렌드를 보여준다고 할 수 있다.
주영흠 잉카인터넷 대표이사는 “때로 해커들은 아주 쉬운 방법으로도 원하는 목적을 달성하기도 한다. 안티바이러스 솔루션으로 실시간 감시해도 방어할 수 있는 단순한 공격으로도 취약점을 찾아낸다. 많은 사용자들이 안티바이러스 솔루션을 제대로 사용하지 않기 때문”이라며 “사회공학적인 방법을 이용하는 APT 공격은 정교하게 설계된 악성코드를 이용하기도 하지만 매우 기초적인 수준의 공격을 이용하기도 한다. 변종공격이나 시간차 공격 등 예상치 못한 허점을 파고드는 경우가 많기 때문에 특정한 몇 가지 방법으로 막을 수 있는 것은 아니다”라고 말했다.
김남욱 한국카스퍼스키랩 이사는 “APT의 위험성은 악성코드 그 자체가 아니라 미처 파악하고 있지 못한 취약점을 파고든다는 점이다. 과거나 현재나 다름없이 해커들은 알려지지 않은 취약점을 공격하면서 원하는 목표를 달성해왔다”며 “취약점은 어느 지점에서 발견될 수 있을지 모르기 때문에 단일 솔루션으로는 해결할 수 없다. 지능화되는 공격을 방어하기 위해 사전방역 시스템을 갖추는 것이 중요하다”고 말했다.
