APT 공격, 확산 전에 차단해야
APT 공격을 예방 또는 차단하기 위해서는 공격이 확산되기 전에 공격을 탐지하고 차단해야 한다. 공격자가 정보를 수집하듯, 방어자도 최근 공격정보를 수집하고 분석하고 대응책을 마련해야 한다.
예를 들어 올해 초 JAVA 취약점을 노린 제로데이 공격 ‘CVE-2013-0442’이 발견됐으나 2월에 이르러서야 개발사의 보안 패치가 완료됐다. 그 사이에 공격자들은 취약한 웹사이트를 통해 마음껏 공격한 것으로 알려져 있다. 이러한 공격들에 대한정보를 수집하고, 기업이나 조직 내부에서 해당 취약점을 통하여 어떤 방식으로 공격이 이뤄지는지, 공격을 예방하는 방법은 무엇인지를 수집 분석함으로써 공격을 사전에 예방할 수 있다.
APT는 전세계에 걸쳐 다양하게 발생하고 있으며, 대상이 특정되기 때문에 국가별·지역별로 공격방법이 다르다. 우리나라에서는 웹사이트를 통한 감염과 이메일에 HWP 파일을 첨부해 감염시키는 방식이 주로 사용된다.
이와 같이 APT 공격이 조직이나 기업으로 침투할 때에는 어떤 방식으로 침입이 이뤄지는지 분석하고 그에 대한 적합한 대응을 할 필요가 있다. 예를 들어 메일을 통한 공격에 대해 취약하다고 여겨진다면, 메일을 통해 발생하는 APT 공격에 활용되는 취약점을 예방하는 방법부터 스팸 등 악성 메일을 차단하는 장비 채택 등과 같이 다양한 방안을 고려해 볼 수 있다.
아웃바운드 모니터링 필수
APT 공격에서 가장 특징적인 징후가 C&C 연결 정보(callback IP)이다. 특정 PC에서 봇넷에 연결하는 트래픽이 올라오는 것을 보안 장비에서 찾아낼 수 있다면, 곧바로 좀비PC라고 간주하여 조치를 취할 수 있다. 문제는 바로 콜백 IP 데이터베이스를 어떻게 만들고 관리할 수 있는가에 대한 현실적인 의문이 발생하게 된다.
알려지지 않은 프로세스(바이너리)로부터 연결되는 C&C 주소를 화이트리스트 기반으로 모니터링할 수 있는 체계가 없는 현재 상태에서 정상적인 외부 연결과 비정상적인 외부 연결을 구분할 수 있는 방안은 많지 않다.
효과적인 방안은 악성파일들의 존재를 사전에 파악하고 C&C 주소를 확인하는 블랙리스트 가장 효율적이라 할 수 있다. 문제는 블랙리스트를 어떻게 유지하고 관리할 수 있는가다.
아쉽게도 보안전문가가 아닌 일반 IT 담당자가 보안 장비 등을 통해서 제공되는 의심스러운 패킷(IP 주소)을 분석하는데 어려움이 있을 수 있다. 따라서 이러한 부분에 대해서는 관련 장비의 보안 전문가에게 조언을 구하는 것이 좋다.
APT 공격은 2005년경부터 언급되기 시작한 오래된 공격 중 하나다. 다만 기존의 보안 전략을 우회한다는 전략 덕분에 기존의 보안 체계를 가진 조직이나 기업에서 손쓸 틈도 없이 당하는 것뿐이다.
하지만 실제 APT 공격을 면밀하게 분석해 보면, 기존의 보안 정책이나 솔루션을 통해서도 상당한 예방이나 차단이 가능하고, 그런 부분 중에 부족한 부분을 어떤 방식으로 해결할 것인가에 대한 충분한 검토를 통해 APT 공격을 충분히 예방할 수 있을 것이다.
