소니 픽처스가 해킹을 당해 시스템이 다운되고 내부자료가 공개된데 이어 한국수력원자력에서 원전설계도 등 기밀정보가 유출되는 사고가 발생하면서 지능형 지속위협(APT)에 관심이 다시 높아지고 있다. APT는 대부분 악성코드를 목표 시스템에 침투시켜 기밀정보를 빼오거나 시스템을 파괴하는 공격으로, 목표한 바를 이룰 때까지 공격을 지속하는 것이 특징이다.
스피어피싱·워터링홀, APT에 가장 많이 사용
한수원 해킹은 한글문서 파일에 악성코드를 심어 이메일을 통해 유포된 것으로 알려진다. 이메일을 이용한 악성코드 유포는 ‘스피어피싱’이라고 불리며, 가장 일반화된 APT 수법으로 목표가 되는 시스템의 접근권한을 가진 사용자가 관심있어 할만한 내용으로 이메일을 보낸다. 업무와 연관성이 있는 내용이나 관심있는 주제, 취미활동 등과 같은 내용으로 위장한다.
기업의 보안이 강화되면서 개인적인 내용이나 의심스러운 메일은 스팸방지 시스템 혹은 메일보안 시스템으로 차단되기 때문에 최근에는 업무 관련 이메일을 보내는 것이 일반적이다. 인사담당자에게는 이력서, 재무담당자에게는 회계 관련 자료, 마케팅 담당자에게는 신제품이나 홍보 전략 등과 같은 내용의 이메일을 보낸다. 한수원에 이용된 이메일도 ‘제어 프로그램’이라는 이름의 한글파일에 숨어있었다.
웹 사이트 방문자 PC에 악성코드를 심는 워터링홀도 APT에 많이 이용된다. 타깃 집단의 사람들이 주로 방문하는 웹사이트를 심어 목표한 사람의 PC를 감염시키는 이 공격은 원자력·에너지·국방 등 관련 기관과 기업의 사이트에서 상당히 자주 발견된다. 포털, 언론, 유명 카페 등 불특정 다수의 사람들이 방문하는 사이트에서 악성코드를 유포시켜 많은 사람들을 감염시키는 것은 드라이브 바이 다운로드(DBD)라고 한다.
단일기술로 APT 악성코드 못찾아
APT에 이용되는 악성코드는 타깃 시스템에 침투하기 위해 정교하게 설계된 것이기 때문에 기존 보안 장비의 시그니처에 등록돼 있지 않다. 시그니처 기반의 보안위협 탐지 시스템은 의심스러운 파일을 탐지했을 때 이를 실제와 동일한 가상환경에서 분석해 이상행위가 발생하는지 살펴보는데, 같은 악성코드가 여러차례 발견돼 동일한 이상행위가 일어나면 시그니처에 등록한다.
APT에 이용되는 악성코드는 시그니처에 등록될 만큼 샘플을 많이 만들지 않으며, 다양한 변종 악성코드를 생성해 이용하기 때문에 시그니처 보안 장비로 탐지가 어렵다.
샌드박스 기술은 가상환경에서 위협으로 의심되는 요소를 분석해 이상행위가 발생하면 관리자에게 경고를 울리는 방식으로, 새로운 악성코드를 탐지하는데 매우 효과적이다.
그러나 너무 많은 이벤트를 발생시키기 때문에 실제로 위협이 되는 요소를 찾아내기 어렵다. 최근 악성코드는 가상환경을 인식하는 기술을 갖고 있기 때문에 샌드박스에서는 공격을 실행하지 않도록 설계되기 때문에 샌드박스만으로 악성코드를 찾아낼 수 없다.
강력하고 체계적인 보안정책 수립·실행해야
APT 방어를 위한 가장 효과적인 방법은 공격이 일어나는 단계별로 적절한 방어기술을 사용하는 것이다. 단말이나 네트워크로 유입되는 트래픽을 시그니처 기반 보안 솔루션을 통해 알려진 보안 위협을 제거한다. 의심스러운 요소는 샌드박스를 이용해 분석하고, 시스템 내부에서는 경계단에서 찾아내지 못한 위협요소를 탐지할 수 있는 모니터링 시스템을 갖춰야 한다.
행위기반 기술과 상황인지 기술을 갖춘 보안 시스템을 이용해 장기간에 걸쳐 은밀하게 진행되는 공격을 정확하게 차단할 수 있어야 하는데, 모든 IT 시스템에서 생성되는 로그와 각종 정보를 연계분석할 수 있는 기술을 갖춰서 오탐·미탐 없이 정확하게 분석해 낼 수 있어야 한다.
무엇보다 중요한 것은 강력하고 체계적인 보안정책을 수립하고 실행하는 것이다. 우리나라 기업/기관의 많은 경우 외주업체 직원들이 최고권한계정을 갖고 시스템을 관리하는 경우가 많으며, 이들의 작업내용은 수기로 작성하는 작업일지로만 남겨놓는 경우가 허다하다.
한수원의 경우도 직원들의 ID/PW를 하청업체 직원들과 공유하고 있어 하청업체 직원들이 한수원 직원 계정으로 접속해 업무를 진행해 언제든지 비밀문서에 접속할 수 있는 관행이 있는 것으로 알려진다. 따라서 평소의 잘못된 업무 관행을 바로잡아 상시적인 보안정책 준수 문화를 만드는 것이 APT 공격 방어의 기본이라고 할 수 있다.
