> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[컬럼] “보안정책 체계화로 APT 공격 예방”
문일준 빛스캔 대표 “공격 확산 전에 탐지하고 차단해야”
2013년 08월 05일 10:54:34 데이터넷 webmaster@datanet.co.kr

   
2013년 상반기 보안업계의 화두로 사이버 테러를 꼽을 수 있다. 3·20 전산망 마비공격과 6·25 정부기관 해킹사고까지 국가 기관 및 언론사를 대상으로 한 일련의 공격은 수개월간 은밀히 준비해온 APT 공격인 것으로 알려진다.

APT 공격, 확산 전에 차단해야
APT 공격을 예방 또는 차단하기 위해서는 공격이 확산되기 전에 공격을 탐지하고 차단해야 한다. 공격자가 정보를 수집하듯, 방어자도 최근 공격정보를 수집하고 분석하고 대응책을 마련해야 한다.

예를 들어 올해 초 JAVA 취약점을 노린 제로데이 공격 ‘CVE-2013-0442’이 발견됐으나 2월에 이르러서야 개발사의 보안 패치가 완료됐다. 그 사이에 공격자들은 취약한 웹사이트를 통해 마음껏 공격한 것으로 알려져 있다. 이러한 공격들에 대한정보를 수집하고, 기업이나 조직 내부에서 해당 취약점을 통하여 어떤 방식으로 공격이 이뤄지는지, 공격을 예방하는 방법은 무엇인지를 수집 분석함으로써 공격을 사전에 예방할 수 있다.

APT는 전세계에 걸쳐 다양하게 발생하고 있으며, 대상이 특정되기 때문에 국가별·지역별로 공격방법이 다르다. 우리나라에서는 웹사이트를 통한 감염과 이메일에 HWP 파일을 첨부해 감염시키는 방식이 주로 사용된다.

이와 같이 APT 공격이 조직이나 기업으로 침투할 때에는 어떤 방식으로 침입이 이뤄지는지 분석하고 그에 대한 적합한 대응을 할 필요가 있다. 예를 들어 메일을 통한 공격에 대해 취약하다고 여겨진다면, 메일을 통해 발생하는 APT 공격에 활용되는 취약점을 예방하는 방법부터 스팸 등 악성 메일을 차단하는 장비 채택 등과 같이 다양한 방안을 고려해 볼 수 있다.

아웃바운드 모니터링 필수
APT 공격에서 가장 특징적인 징후가 C&C 연결 정보(callback IP)이다. 특정 PC에서 봇넷에 연결하는 트래픽이 올라오는 것을 보안 장비에서 찾아낼 수 있다면, 곧바로 좀비PC라고 간주하여 조치를 취할 수 있다. 문제는 바로 콜백 IP 데이터베이스를 어떻게 만들고 관리할 수 있는가에 대한 현실적인 의문이 발생하게 된다.

알려지지 않은 프로세스(바이너리)로부터 연결되는 C&C 주소를 화이트리스트 기반으로 모니터링할 수 있는 체계가 없는 현재 상태에서 정상적인 외부 연결과 비정상적인 외부 연결을 구분할 수 있는 방안은 많지 않다.

효과적인 방안은 악성파일들의 존재를 사전에 파악하고 C&C 주소를 확인하는 블랙리스트 가장 효율적이라 할 수 있다. 문제는 블랙리스트를 어떻게 유지하고 관리할 수 있는가다.

아쉽게도 보안전문가가 아닌 일반 IT 담당자가 보안 장비 등을 통해서 제공되는 의심스러운 패킷(IP 주소)을 분석하는데 어려움이 있을 수 있다. 따라서 이러한 부분에 대해서는 관련 장비의 보안 전문가에게 조언을 구하는 것이 좋다.

APT 공격은 2005년경부터 언급되기 시작한 오래된 공격 중 하나다. 다만 기존의 보안 전략을 우회한다는 전략 덕분에 기존의 보안 체계를 가진 조직이나 기업에서 손쓸 틈도 없이 당하는 것뿐이다.

하지만 실제 APT 공격을 면밀하게 분석해 보면, 기존의 보안 정책이나 솔루션을 통해서도 상당한 예방이나 차단이 가능하고, 그런 부분 중에 부족한 부분을 어떤 방식으로 해결할 것인가에 대한 충분한 검토를 통해 APT 공격을 충분히 예방할 수 있을 것이다.

데이터넷의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 

가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr